Attacks Blog

La documentación de Mockito fue secuestrada

Algunos ataques son ridículamente simples. Mockito, un popular paquete de código abierto, contenía un enlace malicioso en su documentación de Github.

Sep 30, 2025 • 2 min read

Simon Wijckmans Founder & CEO

Se encontró un enlace de instalación malicioso en la wiki de GitHub de un popular proyecto de código abierto; apuntaba a una URL de terceros (https://yip[.]su/2F5rd4) marcada como maliciosa por VirusTotal. Si tu proyecto usa wikis de Github, bloquéalas y restringe el acceso.

Qué ocurrió

Mientras se revisaba la documentación de mockito (el framework de mocking más popular para pruebas unitarias escritas en Java), alguien notó que la sección de instalación de su wiki enlazaba a los usuarios a una URL acortada (https://yip[.]su/2F5rd4). El enlace no tenía relación con el proyecto y está marcado como malicioso en VirusTotal. El enlace estuvo en la página principal de la wiki durante más de 3 años antes de ser eliminado.

Discusión del issue: https://github.com/mockito/mockito/issues/3721

Diff de la wiki que muestra la inserción y eliminación: https://github.com/mockito/mockito/wiki/Home/_compare/7303a66959d7823864637d280a92b2a51b68c467...eb1df9c48fd3529bed997a81b4a2100e8c562fcd

Enlace corto malicioso: https://yip[.]su/2F5rd4

Informe de VirusTotal: https://www.virustotal.com/gui/url/d05eafed450060b4cf8b044bcd7f74f0e1131d49cd2ea76b84de934e55390233

Evidencia

El diff de la wiki que se muestra a continuación revela HTML inyectado que renderiza botones de descarga e incluye un enlace de Windows a la URL corta maliciosa:

[Download installer](http://goo-gl[.]me/kj2PI)
## Installation

<a href="https://yip[.]su/2F5rd4"><img src="https://github[.]com/aidenlab/JuiceboxLegacy/wiki/images/winlogo.png" width=100 align="middle"/></a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="https://yip[.]su/2F5rd4">Mockito for Windows</a>

<a href="https://github[.]com/mockito/mockito/releases"><img src="https://github[.]com/aidenlab/JuiceboxLegacy/wiki/images/maclogo.png" width=100 align="middle"/></a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="https://github[.]com/mockito/mockito/releases">Mockito for Mac</a>

<a href="https://github[.]com/mockito/mockito/releases"><img src="https://www.rvmis[.]com/vendor/Tux.svg.png" width=100 align="middle"/></a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="https://github[.]com/mockito/mockito/releases">Mockito for Linux</a>

Vista renderizada: https://github.com/mockito/mockito/wiki/Home/_compare/7303a66959d7823864637d280a92b2a51b68c467...eb1df9c48fd3529bed997a81b4a2100e8c562fcd?short_path=355883c

El botón de Windows resuelve a https://yip[.]su/2F5rd4.

Otros proyectos populares también pueden verse afectados. No se trata de un incidente aislado: cualquier repositorio popular con una wiki abierta es vulnerable a este método de ataque.

Por qué ocurre esto

Las wikis de Github son independientes del repositorio de código y tienen sus propios permisos en proyectos públicos abiertos. Los cambios suelen saltarse el proceso de PR/revisión de código, por lo que cualquiera puede añadir un enlace malicioso que pase desapercibido y sea indexado por los buscadores.

Qué puedes hacer para proteger tu proyecto de código abierto

Deshabilita la edición de la wiki o restrínge la a colaboradores seleccionados
Mueve la documentación de instalación a /docs (o al README) y exige revisiones mediante PR

Conclusión

La documentación es parte de tu proyecto; trátala como código real y aplica el mismo proceso de revisión.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Back to top

Don't just take our word for it, ask AI

Monitorea y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitoreo de scripts y análisis de seguridad

Cómo Bloquear OpenAI Operator en Tu Sitio Web

OpenAI Operator navega tu sitio como un usuario real. Aprende a detectarlo y bloquearlo con señales de capa de navegador y cuándo no bloquearlo.

Detectar y bloquear Perplexity Shopper en tu sitio web — blog de cside

Cómo bloquear Perplexity Shopper en tu sitio web

Perplexity Shopper navega y compra en tiendas online en nombre de usuarios Pro. Aprende a detectar sus señales en el navegador y gobernar el tráfico.

Un token de acceso OAuth 2.0 en el centro de un diagrama que conecta un dispositivo legítimo con el dispositivo de un atacante

MFA no falló, falló el modelo de confianza: phishing por código de dispositivo y robo de tokens OAuth (Kali365)

Kali365 abusa de la concesión de autorización de dispositivo de OAuth 2.0 para robar tokens de Microsoft 365 tras MFA. Análisis técnico del flujo, FOCI y detección.

Una ventana de navegador que se disuelve en un flujo de partículas de luz azul sobre un fondo oscuro

La IA está comprimiendo el ciclo de los exploits: el zero-day desarrollado con IA de Google y qué significa para los navegadores

Google detectó un zero-day que cree desarrollado con IA. El cambio real no es el phishing, sino lo rápido que los exploits llegan al navegador.

Tokens de sesión atravesando una barrera de seguridad del navegador hacia señales de huella digital del dispositivo

La sesión del navegador ya es un plano de control de seguridad. Los atacantes lo sabían desde hace años.

La propuesta DBSC de Google valida un cambio claro: las sesiones del navegador necesitan validación del dispositivo después del login.

Banner oscuro de cside que muestra un ataque de cadena de suministro tipo gusano en npm

El efecto bola de nieve: cómo Mini Shai-Hulud convierte npm en una red de distribución de gusanos

Mini Shai-Hulud convirtió paquetes npm en un bucle de robo de credenciales. Así se propagó la ola de AntV y qué deben vigilar los equipos.

Por qué los CAPTCHAs ya no son una defensa fiable contra bots

Los CAPTCHAs ya no son una defensa principal fiable contra bots. Aprende por qué fallan y cómo elevar el coste del atacante.

Banner ilustrado del blog sobre sanciones a Funnull, blanqueo de infraestructura y riesgo de cadena de suministro en el navegador

Funnull sancionada: lo que Polyfill[.]io reveló sobre el blanqueo de infraestructura

Las sanciones de OFAC contra Funnull muestran que Polyfill fue parte de un riesgo mayor de blanqueo de infraestructura.

Ilustración del stack de seguridad con inferencia en el dispositivo

La inferencia en el dispositivo llega a tu stack de seguridad: para bien y para mal

La IA local puede proteger datos sensibles y mejorar la defensa endpoint, pero crea nuevos riesgos de prompt injection, telemetría y navegador.

Portada oscura de cside con puntos sobre bloquear bots de prueba de tarjetas con IA

Bots de prueba de tarjetas basados en agentes de IA | Cómo detenerlos

Los agentes de prueba de tarjetas con IA usan navegadores reales para validar credenciales robadas a escala. Aprenda a detectarlos y bloquearlos antes de que se complete el pago.