GitHub, a plataforma central para desenvolvimento de software colaborativo, está sendo sistematicamente transformada em um vetor de distribuição de malware em larga escala. O que começou como incidentes isolados em 2024 evoluiu para uma tendência persistente e crescente, com cibercriminosos abusando da confiança inerente ao repositório para hospedar e disseminar código malicioso disfarçado de projetos legítimos.
A Tática: Clonagem Maliciosa e Engenharia Social
O modus operandi é consistente. Os atacantes clonam um repositório legítimo, injetam malware — tipicamente infostealers como Redox e LummaStealer ou RATs — e fazem upload da versão comprometida de volta para o GitHub. Em seguida, promovem esses repositórios falsos usando campanhas de SEO malicioso, malvertising, postagens em fóruns e mídias sociais. Técnicas como a compra de “stars” e “likes” ou a realização de commits sem sentido são usadas para manipular o algoritmo de busca da plataforma e manter os repositórios maliciosos no topo dos resultados.
O alvo principal são usuários desatentos em busca de ferramentas populares, cracks de software, cheats para jogos, utilitários de sistema ou, mais recentemente, SDKs de IA e bots de trading. A reputação do GitHub como fonte confiável de código faz com que as vítimas baixem e executem os arquivos sem suspeitar do conteúdo malicioso.
Cronologia de uma Epidemia: Dois Anos de Campanhas Documentadas
A escalada do problema é evidenciada por uma série contínua de relatórios de segurança:
- Fev 2024 (Apiiro): Primeira grande campanha documentada, com mais de 100.000 repositórios maliciosos.
- Fev 2025 (Kaspersky, Tim Sh): Campanhas focadas em gamers, com clusters de centenas a mais de 1.100 repositórios distribuindo Redox Stealer.
- Mar 2025 (Microsoft, Trend Micro): Grandes players da segurança começam a notar a tendência. Distribuição de SmartLoader e LummaStealer via cracks e cheats.
- Jun-Jul 2025 (Sophos, Dhiraj Mishra): Expansão para alvos macOS e campanhas distribuindo CastleLoader.
- Dez 2025 (Kaspersky): Campanhas distribuindo o backdoor Webrat.
- Fev-Mar 2026 (DataDog, Huntress, Acronis, Jamf): Sofisticação crescente. Táticas incluem falsificação de empresas (ClickFix via GitHub), instruções de instalação modificadas para ferramentas de IA (OpenClaw), e campanhas massivas direcionando “quase todos os principais títulos de jogos online”.
- Mar 2026 (OpenSourceMalware): Indícios de um ataque à cadeia de suprimentos, com um grupo ligado à Coreia do Norte anexando malware a centenas de repositórios npm legítimos.
Automação, Escala e o Desafio para o GitHub
Vários relatórios sugerem que os atacantes estão usando IA para automatizar a criação e publicação em massa de repositórios maliciosos. A eficácia da tática, que explora a desatenção humana de forma similar ao ClickFix, garante um fluxo constante de novas vítimas.
Enquanto as empresas de segurança têm se mostrado eficazes na identificação dessas campanhas, a resposta nativa do GitHub parece limitada. A própria natureza da plataforma — projetada para “fork” e “clone” de projetos — cria um desafio de engenharia significativo para detectar automaticamente adições maliciosas em clones de repositórios legítimos.
“Assim como vimos o ClickFix emergir como um grande problema, esperamos que essa tendência de repositórios falsos no GitHub seja uma constante nos próximos anos.”
Implicações para Desenvolvedores e Organizações
A situação exige uma mudança na postura de segurança ao consumir código de fontes abertas:
- Verificação Rigorosa da Fonte: Confirmar a autenticidade do repositório, verificando o usuário mantenedor, histórico de commits e “stars” orgânicos.
- Análise de Segurança do Código: Implementar escaneamento de SAST/SCA mesmo para projetos de repositórios aparentemente confiáveis antes da integração ou execução.
- Educação do Usuário Final: Treinar equipes de desenvolvimento e usuários corporativos sobre os riscos de baixar ferramentas, cracks ou utilitários de repositórios não verificados.
- Controles Compensatórios: Em ambientes corporativos, considerar a restrição de downloads diretos do GitHub para estações de trabalho padrão, canalizando o uso através de ambientes de desenvolvimento seguros e controlados.
A plataforma GitHub tornou-se um ativo crítico para a inovação em software, mas sua abertura e modelo de confiança estão sendo explorados de forma agressiva. A resolução deste problema exigirá não apenas esforços contínuos da comunidade de segurança, mas também inovações significativas nos mecanismos de detecção e resposta da própria Microsoft/GitHub. Até lá, a desconfiança verificada deve ser a nova norma.
Análise baseada no Risky Bulletin de Catalin Cimpanu (23/03/2026). Pesquisa e adaptação: N00TROP1C — NULLTROPIC, 2026.
Deixe um comentário