Campanha de cadeia de suprimentos atinge escala massiva
Uma campanha de malware de grande escala foi descoberta no GitHub após um pesquisador identificar mais de 10.000 repositórios distribuindo arquivos ZIP com Trojan, levantando preocupações sobre o abuso do modelo de confiança da plataforma e as limitações na detecção automatizada. A investigação começou quando o pesquisador notou uma versão clonada de seu próprio repositório aparecendo nos resultados de mecanismos de busca.
Embora o nome do projeto, a descrição e o histórico de commits parecessem idênticos, um commit recém-adicionado introduziu um link malicioso no arquivo README apontando para um arquivo ZIP baixável. Comportamento semelhante foi observado posteriormente em vários repositórios com nomes e contribuidores diferentes, sem relações de fork diretas, sugerindo uma campanha coordenada em vez de incidentes isolados.
Padrão de ataque e escala
A análise mais detalhada revelou um padrão consistente nesses repositórios. Os atacantes replicaram repositórios legítimos, incluindo históricos de commits completos e perfis de contribuidores, provavelmente para estabelecer credibilidade. Eles então modificaram periodicamente o arquivo README para incluir links para arquivos ZIP externos. Esses commits foram frequentemente sobrescritos e reenviados a cada poucas horas, geralmente rotulados como "Update README.md", uma tática que pode ajudar a evitar mecanismos de detecção ou manter a visibilidade nos sistemas de indexação.
Os arquivos ZIP vinculados continham um pequeno conjunto de arquivos, incluindo scripts de comando, carregadores executáveis e bibliotecas dinâmicas. Embora os links de arquivos individuais muitas vezes não retornassem detecções no VirusTotal, o download e a análise do arquivo ZIP completo revelaram malware Trojan. Isso indica que os atacantes podem estar usando técnicas de evasão que dependem da divisão ou ofuscação de componentes de payload para contornar ferramentas de varredura automatizada.
Desafios de detecção e mitigação
Para identificar a escala da campanha, o pesquisador desenvolveu um script usando dados de eventos do GitHub do GH Archive. Em vez de analisar todos os repositórios, o script focou em repositórios com atividade de commit frequente. De aproximadamente 16 milhões de eventos de commit analisados em cinco dias, cerca de 3.000 repositórios mostraram padrões de atualização suspeitos. Após refinar os filtros para excluir bots, impor diversidade de contribuidores e detectar horários de commit anômalos, o script identificou finalmente cerca de 10.000 repositórios que correspondiam ao padrão malicioso.
De acordo com a Orchid em um relatório compartilhado, muitos dos repositórios comprometidos permaneceram indetectados por meses ou até anos. Os pesquisadores também descobriram que vários repositórios foram atualizados apenas infrequentemente, desafiando a suposição de que a atividade de commit rápida é uma característica definidora de repositórios maliciosos.
Impacto na cadeia de suprimentos de software
A campanha parece ser projetada para explorar a visibilidade do GitHub em mecanismos de busca e fluxos de trabalho de desenvolvedores. Ao clonar repositórios recém-criados ou de baixo tráfego, os atacantes aumentam a probabilidade de aparecerem nos resultados de pesquisa para consultas de nicho. Preservar o histórico de commits e os metadados de contribuidores adiciona legitimidade, tornando mais provável que os usuários confiem e baixem os arquivos maliciosos.
Apesar dos esforços de relatório, a remediação tem sido inconsistente. O GitHub removeu repositórios explicitamente listados pelo pesquisador. No entanto, os recém-identificados permaneceram ativos, sugerindo uma abordagem reativa em vez de proativa de aplicação. Relatórios públicos e pesquisas anteriores indicam que essa tática tem sido usada desde pelo menos o início de 2025, com campanhas semelhantes distribuindo famílias de malware como SmartLoader e StealC.
Recomendações para desenvolvedores
Os achados destacam um desafio mais amplo para as plataformas de hospedagem de código: detectar comportamento malicioso que imita o desenvolvimento legítimo. Sem análise escalável de conteúdo de repositório, padrões de commit e links externos, tais campanhas podem persistir indetectadas. Para desenvolvedores, o incidente sublinha a importância de verificar downloads externos, mesmo quando originados de repositórios aparentemente legítimos.