Encontrei 10 mil repositórios do GitHub distribuindo malware Trojan

Natureza da Campanha de Malware

  • Os repositórios hospedam projetos aparentemente úteis, mas distribuem malware por meio de arquivos ZIP vinculados ou binários substituídos em “releases”.
  • As amostras mostram atividade de rede para serviços de informações de IP, nós RPC do Polygon e um servidor C2, sugerindo roubo de criptomoedas.
  • Uma amostra analisada corresponde à família de trojan “disco”; a maioria das cargas úteis é focada em Windows.
  • Os atacantes apagam e republicam commits com frequência para permanecer no topo de “recentemente atualizados” e dos resultados de busca.

Papel e Resposta do GitHub

  • Experiências variadas ao denunciar: alguns repositórios são removidos em 24 horas; outros permanecem por meses ou anos (incluindo pirataria óbvia).
  • Comentadores argumentam que o GitHub não é um repositório curado, mais parecido com um host de arquivos ou fórum com links.
  • Vários acham que o GitHub/Microsoft subutilizam seus recursos (incluindo IA) para detecção proativa de malware, provavelmente por trade-offs de negócio e riscos de falsos positivos.

Limites de “Open Source é Seguro”

  • Há um forte debate sobre a crença comum de que código aberto é “mais seguro” porque pode ser auditado.
  • Muitos observam que:
    • Poucas pessoas realmente leem o código ou verificam se os binários correspondem às fontes.
    • Stars, popularidade e “muitos olhos” criam uma falsa sensação de segurança e são facilmente manipuláveis.
  • Outros contestam que código aberto nunca garantiu estar limpo, apenas ser mais auditável; o backdoor do xz é citado como contraexemplo à confiança ingênua.

Detecção, Varredura e Ferramentas

  • O VirusTotal às vezes sinaliza o malware apenas quando o ZIP é enviado diretamente, não quando é fornecido apenas um link.
  • Há pedidos por varredura de releases/binários em todo o GitHub e heurísticas básicas (contas novas, stargazers sincronizados, árvores de malware clonadas).
  • Ferramentas já mencionadas: Socket, Aikido, Step-Security, Wiz, varredura no estilo Semgrep; alguns querem scanners do GitHub melhores antes do download.

Motores de Busca e Phishing

  • Resultados de busca (especialmente fora do Google) frequentemente colocam acima dos repositórios legítimos forks maliciosos ou de phishing do GitHub.
  • Alguns usuários relatam páginas de phishing para bancos e projetos do GitHub aparecendo muito bem ranqueadas; outros dizem que isso acontece em vários motores de busca grandes.

Segurança de Conta e Práticas de Senha

  • Um caso de alto perfil de malware vindo de um plugin do GitHub comprometendo um gerenciador de senhas alimenta o debate sobre:
    • Armazenar TOTP/MFA no mesmo cofre que as senhas.
    • Usar chaves físicas (por exemplo, YubiKey), dispositivos separados ou múltiplos cofres.
  • Vários argumentam que gerenciadores de senha pressupõem um dispositivo não comprometido; uma vez que o malware é executado localmente, muitas defesas falham.

Engenharia Social e Falsos Testes Técnicos

  • Descrições de golpes de recrutamento: ofertas de “emprego dos sonhos”, seguidas por um repositório de “teste técnico” que na verdade instala malware.
  • Alguns desenvolvedores agora executam todos esses testes apenas em VMs descartáveis e monitoram conexões de saída.

Preocupações Mais Amplas com a Qualidade do Ecossistema

  • A percepção é de que o GitHub está se tornando um “SourceForge 2.0”: spam, malware, stars manipuladas para SEO e fiscalização fraca.
  • Alguns veem isso como uma realidade antiga do ecossistema open source; outros culpam a propriedade corporativa em grande escala e os incentivos de crescimento.