Доверяй, но проверяй каждый коммит. GitHub стал (почти) даркнетом
NewsMakerХакеров уличили в использовании GitHub Desktop для массового распространения вредоносного ПО.
Злоумышленники нашли новый способ использовать GitHub как площадку для распространения вредоносных программ, маскируя их под легальные установщики популярных приложений для разработчиков. В центре новой кампании оказался GitHub Desktop, официальный клиент сервиса, который атакующие превратили в источник заражения, подменяя ссылки на скачивание и продвигая их через рекламу в поисковиках.
Схема оказалась технически простой, но крайне эффективной. Нападающие создавали одноразовые аккаунты на GitHub, делали форк официального репозитория GitHub Desktop, меняли ссылку на скачивание в README-файле и коммитили изменения. Из-за особенностей работы GitHub такие коммиты можно просматривать через адрес официального репозитория, даже если у пользователя нет прав на запись. В результате вредоносный код оказывался визуально «внутри» легитимного проекта, а ссылка выглядела как часть официального репозитория. Эту технику исследователи называют repo squatting.
Дальше в дело вступала реклама. Атакующие запускали платные объявления по запросу «GitHub Desktop», которые вели не на официальный сайт, а прямо на страницу с вредоносным коммитом. Причем ссылка была оформлена так, чтобы пользователь сразу попадал к блоку с кнопкой загрузки, минуя стандартные предупреждения GitHub. В результате люди скачивали поддельный установщик, уверенные, что получают официальный клиент.
По данным специалистов GMO Cybersecurity, кампания была наиболее активной в сентябре и октябре 2025 года. Основной упор делался на пользователей из стран ЕС и ЕЭЗ, но заражения также фиксировались в Японии. Целевой аудиторией стали разработчики и все, кто ищет инструменты для работы с кодом. Аналогичные вредоносные файлы маскировались и под другие популярные программы, включая Chrome, Notion, 1Password и Bitwarden.
Злоумышленники нашли новый способ использовать GitHub как площадку для распространения вредоносных программ, маскируя их под легальные установщики популярных приложений для разработчиков. В центре новой кампании оказался GitHub Desktop, официальный клиент сервиса, который атакующие превратили в источник заражения, подменяя ссылки на скачивание и продвигая их через рекламу в поисковиках.
Схема оказалась технически простой, но крайне эффективной. Нападающие создавали одноразовые аккаунты на GitHub, делали форк официального репозитория GitHub Desktop, меняли ссылку на скачивание в README-файле и коммитили изменения. Из-за особенностей работы GitHub такие коммиты можно просматривать через адрес официального репозитория, даже если у пользователя нет прав на запись. В результате вредоносный код оказывался визуально «внутри» легитимного проекта, а ссылка выглядела как часть официального репозитория. Эту технику исследователи называют repo squatting.
Дальше в дело вступала реклама. Атакующие запускали платные объявления по запросу «GitHub Desktop», которые вели не на официальный сайт, а прямо на страницу с вредоносным коммитом. Причем ссылка была оформлена так, чтобы пользователь сразу попадал к блоку с кнопкой загрузки, минуя стандартные предупреждения GitHub. В результате люди скачивали поддельный установщик, уверенные, что получают официальный клиент.
По данным специалистов GMO Cybersecurity, кампания была наиболее активной в сентябре и октябре 2025 года. Основной упор делался на пользователей из стран ЕС и ЕЭЗ, но заражения также фиксировались в Японии. Целевой аудиторией стали разработчики и все, кто ищет инструменты для работы с кодом. Аналогичные вредоносные файлы маскировались и под другие популярные программы, включая Chrome, Notion, 1Password и Bitwarden.