Banana Squad oculta malware que roba datos en repositorios falsos de GitHub

Los investigadores de ReversingLabs descubrieron recientemente un nuevo y preocupante método de ataque liderado por un grupo llamado Banana Squad. Este grupo, identificado por primera vez por los investigadores de Checkmarx en octubre de 2023, es conocido por sus métodos furtivos, y su nombre proviene de una antigua dirección de internet dañina: bananasquadru .

El equipo de ReversingLabs, incluido el investigador principal de malware, Robert Simmons, encontró más de 60 carpetas de proyecto falsas, llamadas repositorios, en GitHub . Estas carpetas parecían herramientas de hacking reales escritas en Python, pero en realidad estaban troyanizadas, lo que significa que contenían código malicioso oculto.

En sus ataques anteriores, que comenzaron en abril de 2023, Banana Squad distribuyó cientos de paquetes de software malicioso bajo diversos nombres de usuario, según indicaron los investigadores en una entrada de blog compartida con Hackread.com. Estos programas estaban diseñados para ordenadores Windows y su objetivo era "robar grandes cantidades de datos confidenciales", incluyendo información de ordenadores, aplicaciones, navegadores web e incluso monederos de criptomonedas mediante la redirección de dinero.

Estos paquetes maliciosos se descargaron casi 75.000 veces antes de ser detectados y eliminados. Más recientemente, en noviembre de 2024, un proyecto dañino de Banana Squad, encontrado en dieserbenniru , mostró un nuevo truco. Usaron una función de GitHub que permite que las líneas largas de código no se agrupen.

Además, los atacantes añadieron muchos espacios para ocultar su código malicioso, haciéndolo invisible para quienes simplemente lo observan. Esto dificulta mucho la detección del peligro oculto. Banana Squad suele utilizar cuentas de usuario falsas, a menudo con un solo proyecto en la lista, para alojar estos repositorios dañinos.

Más allá de las actividades específicas de Banana Squad, el aumento general del riesgo de OSS apunta a problemas persistentes. Un nuevo informe de ReversingLabs para 2025 muestra un panorama cambiante en la seguridad del software de código abierto (OSS).

Si bien el malware general encontrado en repositorios de OSS disminuyó significativamente en 2024 (una disminución del 70 % en plataformas como npm, PyPI y RubyGems en comparación con 2023), el riesgo para el desarrollo de software a partir de OSS en realidad está creciendo.

Estos actores de amenazas se están volviendo más astutos. Utilizan métodos de ataque más ocultos y complejos, especialmente en plataformas como GitHub, en lugar de simplemente publicar malware simple. Esta tendencia positiva en la reducción del malware se debe en parte a mejores medidas de seguridad, como la autenticación de dos factores (2FA) obligatoria y el repositorio de paquetes maliciosos de OpenSSF, lanzado en 2023 .

Otros informes indican problemas como un aumento de filtraciones de información confidencial en 2024, donde se exponen datos de inicio de sesión confidenciales. Además, un análisis de los principales paquetes de código abierto reveló numerosas vulnerabilidades de seguridad y código corrupto, lo que implica una dependencia de código antiguo y sin mantenimiento. Esto significa que la popularidad no es sinónimo de seguridad. La creciente amenaza implica que todos los usuarios de software de código abierto deben ser más precavidos y utilizar mejores herramientas para protegerse de grupos como Banana Squad y otras amenazas emergentes.