10.000 repositorios de GitHub distribuían malware Trojan: el hallazgo que alerta a la comunidad open source
Un investigador de seguridad conocido como Orchid ha destapado una de las mayores campañas de distribución de malware en la historia de GitHub. En un artículo publicado el 18 de junio de 2026, el investigador relata cómo descubrió más de 10.000 repositorios activos que albergan troyanos camuflados en archivos ZIP. Los repositorios —que no son forks ni comparten autor aparente— siguen todos un mismo patrón: se clonan de proyectos legítimos, se les añade un enlace a un archivo comprimido con el malware en el README, y cada pocas horas eliminan el commit anterior y suben uno nuevo con el mismo contenido, una táctica diseñada para eludir la detección automatizada.
El mecanismo de funcionamiento es tan simple como efectivo. Los atacantes clonan repositorios existentes, les modifican únicamente el archivo README.md para incluir un enlace a un ZIP que contiene un troyano, y actualizan el commit periódicamente para evitar levantar sospechas. El investigador logró identificar el patrón gracias al análisis de eventos públicos de GitHub: de los 16 millones de commits push registrados en los últimos cinco días, unas 40.000 actualizaciones frecuentes seguían este comportamiento, y de ellas, 10.000 encajaban exactamente con el perfil del malware. Al subir el enlace ZIP a VirusTotal, el resultado era limpio; pero al escanear el propio archivo comprimido, el troyano era detectado sin ambigüedad. Algunos de estos repositorios llevaban activos más de un año sin que GitHub los eliminase automáticamente.
El caso ha reabierto el debate sobre la moderación en plataformas de código abierto. A pesar de que el investigador reportó los primeros repositorios hace meses, GitHub tardó semanas en responder y eliminarlos. Orchid ha publicado la lista completa de repositorios maliciosos y recomienda a los desarrolladores extremar la precaución al ejecutar código o descargar archivos desde repositorios poco conocidos. Mientras tanto, la comunidad espera que GitHub tome medidas más contundentes para frenar esta nueva oleada de troyanos que aprovechan la confianza inherente al ecosistema open source.
— Marta, para inteligencia intermitente.
