Pesquisadores da GMO Cybersecurity identificaram uma campanha que utiliza forks do repositório oficial do GitHub Desktop para distribuir um instalador malicioso que se apresenta como o instalador legítimo do produto.
Descoberta e escopo
A investigação coberta pelo Cyber Security News em 27/01/2026 descreve uma campanha detectada entre setembro e outubro de 2025, com foco inicial na Europa e na Área Econômica Europeia, além de registros de infecções no Japão e em outras regiões. Os analistas da GMO identificaram amostras maliciosas, entre elas um instalador chamado GitHubDesktopSetup-x64.exe com 127,68 MB que funciona como um carregador (multi-stage loader).
Vetor e técnicas observadas
O ataque explora a prática de criar contas descartáveis no GitHub e fazer forks do repositório oficial do GitHub Desktop. Os criminosos alteram links de download presentes no README para apontar para instaladores maliciosos e promovem esses links com anúncios patrocinados direcionados a pesquisas por "GitHub Desktop". A técnica empregada, descrita pelos pesquisadores, é um tipo de "repo squatting" que se aproveita de como commits e conteúdo de forks podem permanecer visíveis sob o namespace do repositório oficial, mesmo após exclusões.
Evasão e anti‑análise: GPUGate e OpenCL
Uma das particularidades técnicas destacadas pela GMO é o uso de um .NET payload escondido na seção overlay do executável. O malware se apresenta externamente como um binário C++, mas a análise de debug mostrou tratar‑se de uma aplicação .NET empacotada (AppHost). Além disso, os pesquisadores descreveram o uso da API de GPU OpenCL como mecanismo de anti‑análise: ao depender de operações via GPU, o malware impede que sandboxes tradicionais e máquinas virtuais — que frequentemente não possuem drivers gráficos ou suporte OpenCL — reproduzam seu comportamento, forçando analistas a trabalhar em máquinas físicas com hardware gráfico real para entender a carga maliciosa. Essa técnica foi denominada GPUGate pelos analistas.
Amostras e histórico
A GMO reportou que amostras semelhantes já foram identificadas desde maio de 2025, mascaradas como instaladores de outros aplicativos populares, incluindo Chrome, Notion, 1Password e Bitwarden. O instalador detectado para o caso do GitHub Desktop atua como um carregador, com o payload malicioso alojado na parte final do arquivo, invisível a scanners superficiais.
Impacto e recomendações práticas
- Alvo: desenvolvedores e equipes que buscam instaladores diretamente a partir de repositórios ou resultados de busca, onde anúncios patrocinados podem direcionar para binários falsos;
- Mitigações imediatas: verificar a procedência dos links de download, preferir fontes oficiais (página do produto no site do fornecedor ou releases assinados), e validar hashes/assinaturas de instaladores quando disponíveis;
- Análise: laboratórios de malware devem considerar a limitação de sandboxes sem suporte a GPU e incluir testes em hardware físico com drivers OpenCL para detectar comportamentos ligados ao GPUGate;
- Monitoramento: procurar indicadores relacionados a nomes de arquivos (ex.: GitHubDesktopSetup-x64.exe) e padrões de instalação multi‑stage que escondem payloads em overlay.
Repercussão e lacunas
A matéria atribui a descoberta à GMO Cybersecurity e relata a técnica de repo squatting e o uso de OpenCL para anti‑análise. Não há, no texto consultado, dados sobre número de vítimas confirmadas, países além dos citados com infecções pontuais ou se o GitHub tomou medidas públicas específicas de remediação para a cadeia de forks explorada. Profissionais incident response e equipes de segurança de software supply chain devem acompanhar comunicados oficiais do GitHub e publicações técnicas da GMO para indicadores de compromisso e amostras hash.
Conclusão
A campanha descrita combina engenharia social (anúncios patrocinados), abuso do fluxo de forks públicos no GitHub e técnicas de anti‑análise baseadas em GPU para distribuir um instalador malicioso que se faz passar pelo instalador oficial do GitHub Desktop. A recomendação imediata é reforçar controles de procedência de binários, validar assinaturas/hashes e incluir análise em hardware físico quando necessário.