17 de marzo de 2026

Ataque 'GlassWorm' usa 'tokens' robados de GitHub para inyectar 'malware' en repositorios de Python

Ataque 'GlassWorm' usa 'tokens' robados de GitHub para inyectar 'malware' en repositorios de Python

Un nuevo ataque llamado GlassWorm está comprometiendo cientos de proyectos de Python. Los atacantes roban credenciales de GitHub y las usan para insertar código malicioso en los repositorios. Si alguien instala o ejecuta código de estos repositorios comprometidos, su sistema se infectará con malware (programa dañino).

Cómo funciona el ataque ForceMemo

La empresa de seguridad StepSecurity descubrió este ataque, llamado ForceMemo, que sigue estos pasos:

  • Primero, los atacantes infectan los sistemas de los desarrolladores con el malware GlassWorm a través de extensiones maliciosas de VS Code y Cursor.
  • Este malware roba información secreta, como los tokens de GitHub (claves de acceso).
  • Luego, usando esas credenciales robadas, insertan código malicioso en los archivos "setup.py", "main.py" o "app.py" de los repositorios de Python. El código está ofuscado (es decir, oculto para que sea difícil de entender).
  • El código malicioso revisa si la configuración regional del sistema está en ruso. Si lo está, no se ejecuta, sino que salta este paso. En caso contrario, descarga más malware, incluyendo JavaScript encriptado (cifrado) diseñado para robar criptomonedas y datos.

La técnica de ataque es particularmente sigilosa porque reescribe el historial de los repositorios en Git, el sistema de control de versiones, manteniendo intactos los mensajes y autores originales de los commits (cambios).

A quién afecta

El ataque afecta a proyectos de Python, incluyendo aplicaciones Django, código de investigación de aprendizaje automático (ML), paneles de Streamlit y paquetes PyPI. También se han visto comprometidos dos paquetes de React Native en npm: react-native-international-phone-number y react-native-country-select.

El malware busca víctimas fuera de Rusia, revisando la configuración regional del sistema.

Qué significa esto para ti

Si eres desarrollador de Python, revisa tus repositorios en GitHub para asegurarte de que no han sido comprometidos. Si usas alguno de los paquetes mencionados, asegúrate de estar usando versiones seguras. Como medida de seguridad general, ten cuidado al instalar extensiones de VS Code y Cursor, y revisa los permisos que solicitan.

Para las empresas, es crucial reforzar la seguridad de las cuentas de desarrolladores y monitorizar la integridad de los repositorios de código.

Fuente: https://www.stepsecurity.io/blog/forcememo-hundreds-of-github-python-repos-compromised-via-account-takeover-and-force-push
← Anterior Vulnerabilidad en Wing FTP Server expone...
Escrito por:
Luis Carreón
📰 Otras noticias del día
Konni usa KakaoTalk para propagar malware EndRAT mediante phishing
Vulnerabilidad en Wing FTP Server expone información sensible: urge actualizar
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

CiberRadar
← Volver al inicio