10.000 repositorios en GitHub distribuyen malware en pleno 2026 y nadie se dio cuenta
Hace un par de meses un desarrollador se dio cuenta de algo raro: buscaba su propio proyecto en Google y aparecía un repositorio clonado con su nombre, su descripción, hasta sus commits. Pero había un detalle: al readme le habían agregado un link a un zip. Eso levantó la primera alerta. Lo que vino después es una historia que debería preocupar a cualquiera que baje código de GitHub sin pensar.
El tipo empezó a investigar y descubrió que no eran dos o tres repos clonados. Eran 10.000. Todos con nombres distintos, contribuidores distintos, commits copiados de proyectos reales. Pero compartían un patrón: cada pocas horas borraban el último commit y subían uno nuevo, siempre con el mismo mensaje: «Update README.md». Y en ese readme había un link a un archivo zip.
Si subías el zip a VirusTotal, detectaba troyanos adentro. Pero el link solo, no. Eso es clave: el malware no está en GitHub directamente, está en un archivo externo que parece inofensivo. El repositorio en cambio se ve legítimo. Tiene historia, tiene contribuidores reales copiados, aparece en los resultados de búsqueda. ¿Quién no confiaría?
¿Cómo funciona la estafa?
Los atacantes clonan repositorios reales, copian todo el historial de commits y los contribuidores, y luego agregan un link al readme. Eso les da credibilidad. Cuando un desarrollador busca una librería o herramienta en Google, estos repos clonados aparecen arriba porque son «nuevos» y están indexados rápido. El usuario entra, ve que tiene estrellas, commits, gente conocida, y no duda.
El archivo zip contiene ejecutables disfrazados: Application.cmd, loader.exe, lua51.dll. Todo armado para que parezca un proyecto normal. Pero adentro hay troyanos como SmartLoader y StealC, que roban información, credenciales, y lo que encuentren en tu máquina.
¿Por qué GitHub no lo detecta?
Acá viene la parte que me tiene más molesto. El autor del descubrimiento reportó los primeros repos a GitHub Support. Dos semanas de silencio. Después un mes más. Finalmente respondieron y borraron los dos repos que él reportó. Pero el problema no eran dos repos, eran 10.000. Y GitHub no tiene un sistema automático que detecte este patrón.
El desarrollador publicó su script de detección, la lista completa de repos infectados, y recién ahí GitHub empezó a borrarlos. Pero esto no debería depender de un usuario con paciencia y ganas de escribir código. Es una plataforma con 500 millones de repositorios. ¿No pueden detectar que un repo clonado con commits copiados está agregando links a zips sospechosos cada pocas horas?
En mi opinión, esto es un fallo de seguridad grave. GitHub es la columna vertebral del desarrollo moderno. Millones de personas bajan código de ahí todos los días, lo instalan en servidores de producción, en laptops personales, en pipelines de CI/CD. Si la plataforma no puede filtrar 10.000 repos clonados que distribuyen malware activamente, tenemos un problema serio.
¿Qué hacer?
Primero, nunca bajes un zip de un repositorio que no conoces sin revisar. Fíjate en la fecha del último commit: si dice «Update README.md» hace dos horas y el resto del proyecto tiene meses de antigüedad, algo huele mal. Revisa quién es el dueño del repo: si los contribuidores originales no tienen relación con el dueño actual, es una red flag.
Segundo, si usas dependencias de GitHub en tu proyecto, fíjate en el origen. No instales cosas porque aparecen primero en Google. Verifica la URL, la organización, el historial. En esta pega de ingeniero de sistemas he visto demasiados equipos instalar herramientas sin revisar de dónde vienen, y después vienen los problemas.
Tercero, GitHub necesita ponerse las pilas. No puede ser que un solo tipo con un script y la API pública encuentre 10.000 repos maliciosos y la plataforma no haga nada hasta que se haga público. Espero que esto les sirva de wake-up call.
¿Cachai lo que me preocupa? Que este tipo de campaña probablemente sea solo la punta del iceberg. Si hay 10.000 repos ahora, ¿cuántos más hay en otras plataformas? ¿Cuántos no han sido descubiertos todavía? Cuidado con lo que instalas, po.
Fuente de inspiración: How I found 10,000 GitHub repositories distributing Trojan malware
