Encontrei 10 mil repositórios do GitHub distribuindo malware Trojan
Natureza da Campanha de Malware
- Os repositórios hospedam projetos aparentemente úteis, mas distribuem malware por meio de arquivos ZIP vinculados ou binários substituídos em “releases”.
- As amostras mostram atividade de rede para serviços de informações de IP, nós RPC do Polygon e um servidor C2, sugerindo roubo de criptomoedas.
- Uma amostra analisada corresponde à família de trojan “disco”; a maioria das cargas úteis é focada em Windows.
- Os atacantes apagam e republicam commits com frequência para permanecer no topo de “recentemente atualizados” e dos resultados de busca.
Papel e Resposta do GitHub
- Experiências variadas ao denunciar: alguns repositórios são removidos em 24 horas; outros permanecem por meses ou anos (incluindo pirataria óbvia).
- Comentadores argumentam que o GitHub não é um repositório curado, mais parecido com um host de arquivos ou fórum com links.
- Vários acham que o GitHub/Microsoft subutilizam seus recursos (incluindo IA) para detecção proativa de malware, provavelmente por trade-offs de negócio e riscos de falsos positivos.
Limites de “Open Source é Seguro”
- Há um forte debate sobre a crença comum de que código aberto é “mais seguro” porque pode ser auditado.
- Muitos observam que:
- Poucas pessoas realmente leem o código ou verificam se os binários correspondem às fontes.
- Stars, popularidade e “muitos olhos” criam uma falsa sensação de segurança e são facilmente manipuláveis.
- Outros contestam que código aberto nunca garantiu estar limpo, apenas ser mais auditável; o backdoor do xz é citado como contraexemplo à confiança ingênua.
Detecção, Varredura e Ferramentas
- O VirusTotal às vezes sinaliza o malware apenas quando o ZIP é enviado diretamente, não quando é fornecido apenas um link.
- Há pedidos por varredura de releases/binários em todo o GitHub e heurísticas básicas (contas novas, stargazers sincronizados, árvores de malware clonadas).
- Ferramentas já mencionadas: Socket, Aikido, Step-Security, Wiz, varredura no estilo Semgrep; alguns querem scanners do GitHub melhores antes do download.
Motores de Busca e Phishing
- Resultados de busca (especialmente fora do Google) frequentemente colocam acima dos repositórios legítimos forks maliciosos ou de phishing do GitHub.
- Alguns usuários relatam páginas de phishing para bancos e projetos do GitHub aparecendo muito bem ranqueadas; outros dizem que isso acontece em vários motores de busca grandes.
Segurança de Conta e Práticas de Senha
- Um caso de alto perfil de malware vindo de um plugin do GitHub comprometendo um gerenciador de senhas alimenta o debate sobre:
- Armazenar TOTP/MFA no mesmo cofre que as senhas.
- Usar chaves físicas (por exemplo, YubiKey), dispositivos separados ou múltiplos cofres.
- Vários argumentam que gerenciadores de senha pressupõem um dispositivo não comprometido; uma vez que o malware é executado localmente, muitas defesas falham.
Engenharia Social e Falsos Testes Técnicos
- Descrições de golpes de recrutamento: ofertas de “emprego dos sonhos”, seguidas por um repositório de “teste técnico” que na verdade instala malware.
- Alguns desenvolvedores agora executam todos esses testes apenas em VMs descartáveis e monitoram conexões de saída.
Preocupações Mais Amplas com a Qualidade do Ecossistema
- A percepção é de que o GitHub está se tornando um “SourceForge 2.0”: spam, malware, stars manipuladas para SEO e fiscalização fraca.
- Alguns veem isso como uma realidade antiga do ecossistema open source; outros culpam a propriedade corporativa em grande escala e os incentivos de crescimento.