Netcrook Logo
👤 SECPULSE
🗓️ 18 Mar 2026  

Sabotaje Silencioso de Repositorios: Cómo ForceMemo Convirtió GitHub en un Campo Minado de Malware

Un sofisticado ataque a la cadena de suministro está secuestrando proyectos Python de confianza, dejando a desarrolladores y usuarios expuestos a puertas traseras sigilosas y malware que roba criptomonedas.

Imagina actualizar tu biblioteca favorita de Python, solo para desatar sin saberlo malware en tus sistemas - directamente desde el repositorio oficial de GitHub. Esto no es una hipótesis: es la escalofriante realidad de la campaña ForceMemo, una nueva arma en el arsenal del notorio actor de amenazas GlassWorm. Con cientos de cuentas secuestradas, reescrituras de código invisibles y canales de comando impulsados por blockchain, ForceMemo está reescribiendo las reglas de la confianza en el open source - y los defensores luchan por ponerse al día.

Dentro del Ataque: De Editores Infectados a C2 Sigiloso en Blockchain

La campaña ForceMemo no irrumpe directamente en GitHub. En cambio, se aprovecha de credenciales de desarrolladores recolectadas por GlassWorm, una familia de malware que se propaga mediante extensiones maliciosas para editores de código populares. Una vez que los atacantes obtienen las credenciales de la víctima, obtienen control total de sus cuentas de GitHub. Cada repositorio bajo la cuenta comprometida es sistemáticamente infectado - no con commits maliciosos evidentes, sino reescribiendo el historial de git para añadir malware a archivos críticos como setup.py.

Este truco técnico preserva los mensajes de commit originales, autores y fechas, haciendo que los cambios sean casi invisibles en la interfaz web de GitHub. Solo pistas sutiles, como fechas de committer que no coinciden y direcciones de correo “null”, insinúan manipulación. El resultado: desarrolladores y pipelines CI/CD que ejecutan pip install o python setup.py install desde repositorios aparentemente confiables están ejecutando sin saberlo malware ofuscado.

El código inyectado es una clase magistral de evasión. Capas de base64, compresión zlib y cifrado XOR ocultan su verdadera intención, con comentarios en ruso y lógica para evitar sistemas rusos - una marca registrada del cibercrimen de Europa del Este. Lo más llamativo es que, en lugar de contactar un servidor C2 convencional, el malware consulta la blockchain de Solana, usando los memos de transacciones como un canal resistente para obtener URLs de cargas útiles.

Una vez activado, el malware descarga un binario Node.js fresco y una carga útil JavaScript fuertemente cifrada, que se cree apunta a billeteras de criptomonedas, extensiones de navegador y claves SSH. El uso de C2 basado en blockchain hace que los esfuerzos de eliminación sean casi inútiles, mientras que el análisis en cadena vincula la campaña directamente con operaciones previas de GlassWorm.

Los equipos de seguridad ahora corren para contener la amenaza. StepSecurity y otros recomiendan revisar cuidadosamente los metadatos de los commits, especialmente las discrepancias inexplicables entre las fechas de autor y committer, y realizar búsquedas regulares en el código de GitHub para la variable marcador lzcdrtfxyqiplpd. También se aconseja monitorear los trabajos de CI/CD en busca de tráfico inesperado hacia RPC de Solana o descargas de Node.js.

¿La Nueva Normalidad del Open Source?

ForceMemo es una llamada de atención para el ecosistema open source. A medida que los atacantes explotan la confianza y la interconexión de las plataformas de desarrollo, incluso los repositorios más reputados pueden convertirse en vectores de malware sofisticado. En esta nueva era, la vigilancia, la transparencia y una monitorización más inteligente son los únicos escudos que quedan entre la innovación y el compromiso.

WIKICROOK

  • Force: En ciberseguridad, “force” suele referirse a ataques de fuerza bruta o a la detención forzada de procesos para obtener acceso o interrumpir sistemas.
  • Command and Control (C2): Command and Control (C2) es el sistema que los hackers utilizan para controlar remotamente dispositivos infectados y coordinar ciberataques maliciosos.
  • Ofuscación: La ofuscación es la práctica de disfrazar código o datos para dificultar que humanos o herramientas de seguridad los entiendan, analicen o detecten.
  • CI/CD: CI/CD automatiza las pruebas y el despliegue de software, permitiendo a los equipos entregar cambios de código de forma rápida, segura y eficiente con mínima intervención manual.
  • Blockchain de Solana: La Blockchain de Solana es un libro de registros digital rápido y escalable usado para criptomonedas y dApps, a veces explotado para entregar instrucciones de malware de forma encubierta.
ForceMemo GitHub Malware
SECPULSE SECPULSE
SOC Detection Lead
← Back to news