Descoberta de Distribuição Massiva de Malware no GitHub: Milhares de Repositórios Infectados
Um pesquisador descobriu um padrão preocupante no GitHub, onde milhares de repositórios contêm links para arquivos ZIP maliciosos. A investigação revela uma tática sofisticada para evadir detecção e levantar questões sobre a segurança da plataforma.
MundiX News·19 de junho de 2026·6 min de leitura·👁 5 views
Um pesquisador de segurança descobriu uma operação em larga escala no GitHub, envolvendo a disseminação de malware através de milhares de repositórios. A descoberta inicial ocorreu quando o autor do artigo buscava indexar seu próprio projeto no Google e Bing, encontrando cópias de seu repositório com descrições e commits idênticos. A principal diferença era a adição de um link para um arquivo ZIP no arquivo README, que continha um trojan.
Ao investigar mais a fundo, o pesquisador identificou um padrão recorrente: repositórios recém-criados, não sendo forks, com nomes e descrições variados, mas que apresentavam cópias de commits de outros projetos. Uma característica chave era a atualização constante do arquivo README, onde um link para um arquivo ZIP era adicionado a cada poucas horas, com o commit anterior sendo removido. Essa tática de reescrita de commits e atualizações frequentes parecia ser uma tentativa de contornar os mecanismos de segurança automatizados do GitHub. Após relatar os repositórios suspeitos, o pesquisador enfrentou uma longa espera, com o GitHub demorando semanas para remover os exemplos iniciais.
Motivado a entender a extensão do problema, o pesquisador desenvolveu um script para analisar eventos do GitHub e identificar repositórios que se encaixavam no padrão. Inicialmente, o script identificou cerca de 3.000 repositórios com atualizações frequentes. Refinando os filtros para excluir commits de bots, garantir um intervalo de tempo significativo entre commits e ter múltiplos contribuidores, o número foi reduzido para 14. No entanto, uma reavaliação revelou que o filtro de frequência de atualização era muito restritivo. Um novo filtro, buscando repositórios atualizados entre 1 e 24 vezes a cada 24 horas, resultou em 40.000 repositórios. Desses, 10.000 (25%) se encaixavam perfeitamente no padrão, cada um contendo um arquivo ZIP com um trojan. Esses repositórios, alguns com mais de um ano de existência, não eram detectados automaticamente pelo GitHub. O pesquisador levantou questões cruciais sobre a motivação por trás da cópia de repositórios novos em vez de populares, a razão para a reescrita constante de commits e a eficácia dos algoritmos de detecção do GitHub. O arquivo ZIP em questão continha arquivos como Application.cmd, loader.exe, random_name.cso e lua51.dll. Embora o link para o arquivo ZIP não fosse detectado como malicioso no VirusTotal, o upload do próprio arquivo ZIP revelava a presença de um trojan.
As hipóteses do pesquisador sugerem que a tática de reescrever commits e usar nomes de commit genéricos como "Update README.md" visa enganar os algoritmos de segurança do GitHub. A cópia de repositórios novos e a inclusão em tags populares aumentariam a visibilidade e a chance de downloads. A manutenção da história de commits e a inclusão de múltiplos contribuidores podem ser estratégicas para gerar confiança e, possivelmente, contornar outras verificações de segurança. O pesquisador conclui que, devido ao grande volume de repositórios infectados, ele não enviará um novo relatório ao GitHub, mas incentiva aqueles com contatos diretos na equipe de segurança a compartilharem esta descoberta. A escala real dessa operação e a natureza exata do payload executável permanecem como questões em aberto.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Um pesquisador de segurança descobriu uma operação em larga escala no GitHub, envolvendo a disseminação de malware através de milhares de repositórios. A descoberta inicial ocorreu quando o autor do artigo buscava indexar seu próprio projeto no Google e Bing, encontrando cópias de seu repositório com descrições e commits idênticos. A principal diferença era a adição de um link para um arquivo ZIP no arquivo README, que continha um trojan.
Ao investigar mais a fundo, o pesquisador identificou um padrão recorrente: repositórios recém-criados, não sendo forks, com nomes e descrições variados, mas que apresentavam cópias de commits de outros projetos. Uma característica chave era a atualização constante do arquivo README, onde um link para um arquivo ZIP era adicionado a cada poucas horas, com o commit anterior sendo removido. Essa tática de reescrita de commits e atualizações frequentes parecia ser uma tentativa de contornar os mecanismos de segurança automatizados do GitHub. Após relatar os repositórios suspeitos, o pesquisador enfrentou uma longa espera, com o GitHub demorando semanas para remover os exemplos iniciais.
Motivado a entender a extensão do problema, o pesquisador desenvolveu um script para analisar eventos do GitHub e identificar repositórios que se encaixavam no padrão. Inicialmente, o script identificou cerca de 3.000 repositórios com atualizações frequentes. Refinando os filtros para excluir commits de bots, garantir um intervalo de tempo significativo entre commits e ter múltiplos contribuidores, o número foi reduzido para 14. No entanto, uma reavaliação revelou que o filtro de frequência de atualização era muito restritivo. Um novo filtro, buscando repositórios atualizados entre 1 e 24 vezes a cada 24 horas, resultou em 40.000 repositórios. Desses, 10.000 (25%) se encaixavam perfeitamente no padrão, cada um contendo um arquivo ZIP com um trojan. Esses repositórios, alguns com mais de um ano de existência, não eram detectados automaticamente pelo GitHub. O pesquisador levantou questões cruciais sobre a motivação por trás da cópia de repositórios novos em vez de populares, a razão para a reescrita constante de commits e a eficácia dos algoritmos de detecção do GitHub. O arquivo ZIP em questão continha arquivos como Application.cmd, loader.exe, random_name.cso e lua51.dll. Embora o link para o arquivo ZIP não fosse detectado como malicioso no VirusTotal, o upload do próprio arquivo ZIP revelava a presença de um trojan.
As hipóteses do pesquisador sugerem que a tática de reescrever commits e usar nomes de commit genéricos como "Update README.md" visa enganar os algoritmos de segurança do GitHub. A cópia de repositórios novos e a inclusão em tags populares aumentariam a visibilidade e a chance de downloads. A manutenção da história de commits e a inclusão de múltiplos contribuidores podem ser estratégicas para gerar confiança e, possivelmente, contornar outras verificações de segurança. O pesquisador conclui que, devido ao grande volume de repositórios infectados, ele não enviará um novo relatório ao GitHub, mas incentiva aqueles com contatos diretos na equipe de segurança a compartilharem esta descoberta. A escala real dessa operação e a natureza exata do payload executável permanecem como questões em aberto.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
