Check Point Research detectó malware que fabrica reputación en GitHub, YouTube y VirusTotal

La mayoría de las campañas de malware intenta pasar inadvertida, pero una investigación de Check Point Research identificó un esquema que busca lo contrario: construir una apariencia de popularidad para inducir descargas y, desde allí, robar criptomonedas. La operación se apoya en tácticas asociadas al marketing digital —métricas infladas, reseñas coordinadas y tutoriales— para instalar una herramienta maliciosa que secuestra el portapapeles.

El análisis se centró en un secuestrador de portapapeles de criptomonedas (un *clipper*) oculto en supuestas “herramientas” que prometen ventajas indebidas. Entre los señuelos se mencionan bots de Solana y Pump.fun, un “Aviator Predictor” y varios predictores de fallos en juegos. El público objetivo incluye poseedores de criptomonedas y jugadores online que buscan atajos y ganancias rápidas y automatizadas.

La campaña se sostiene en lo que el reporte denomina “redes fantasma”: grupos de cuentas falsas o de baja calidad creadas para inflar señales de confianza. En GitHub, al menos seis cuentas vinculadas se promocionan entre sí para acumular estrellas, bifurcaciones y descargas desde cuentas controladas. Un repositorio llegó a mostrar 146 estrellas y 62 bifurcaciones.

La misma lógica aparece en SourceForge. El contador de descargas alcanzó las 44.485, con 37.460 supuestamente provenientes de dispositivos Android, pese a que el desarrollador solo ofrece versiones para Windows y macOS. El documento plantea como explicación plausible el uso de una “granja de Android” para inflar de forma artificial esas cifras.

En YouTube, la estrategia se replica con picos antinaturales de visualizaciones y una sección de comentarios con elogios coordinados. Los videos se presentan como recorridos personales y utilizan un narrador sintético generado por inteligencia artificial que guía el paso a paso.

El aspecto más sensible se vincula con el intento de influir en herramientas de seguridad. Check Point Research observó cuentas que emitían votos positivos y publicaban comentarios “seguros” sobre muestras de la campaña en VirusTotal, plataforma que agrega detecciones de decenas de motores de seguridad y alimenta modelos de reputación usados por muchas organizaciones. La combinación de pocas detecciones con un coro de mensajes que indican que “parece limpio” puede crear una impresión falsa de seguridad e influir tanto en usuarios finales como en decisiones automatizadas.

El malware funciona en Windows y macOS y está desarrollado en Rust. Una vez ejecutado, instala persistencia y monitorea el portapapeles en busca de direcciones de monederos de criptomonedas —Bitcoin, Ethereum, Litecoin, Tron, XRP, Cardano, entre otras—; cuando detecta una coincidencia, la reemplaza por otra controlada por el atacante.

Entre las recomendaciones, el informe advierte: “No confíe en las métricas de interacción como indicador de seguridad” y remarca que “La popularidad no es una señal de seguridad”.