Доверяй, но проверяй каждый коммит. GitHub стал (почти) даркнетом
Хакеров уличили в использовании GitHub Desktop для массового распространения вредоносного ПО. Злоумышленники нашли новый способ использовать GitHub как площадку для распространения вредоносных программ, маскируя их под легальные установщики популярных приложений для разработчиков. В центре новой кампании оказался GitHub Desktop, официальный клиент сервиса, который атакующие превратили в источник заражения, подменяя ссылки на скачивание и продвигая их через рекламу в поисковиках.
Схема оказалась технически простой, но крайне эффективной. Нападающие создавали одноразовые аккаунты на GitHub, делали форк официального репозитория GitHub Desktop, меняли ссылку на скачивание в README-файле и коммитили изменения. Из-за особенностей работы GitHub такие коммиты можно просматривать через адрес официального репозитория, даже если у пользователя нет прав на запись. В результате вредоносный код оказывался визуально «внутри» легитимного проекта, а ссылка выглядела как часть официального репозитория. Эту технику исследователи называют repo squatting.
Дальше в дело вступала реклама. Атакующие запускали платные объявления по запросу «GitHub Desktop», которые вели не на официальный сайт, а прямо на страницу с вредоносным коммитом. Причем ссылка была оформлена так, чтобы пользователь сразу попадал к блоку с кнопкой загрузки, минуя стандартные предупреждения GitHub. В результате люди скачивали поддельный установщик, уверенные, что получают официальный клиент.
По данным специалистов GMO Cybersecurity, кампания была наиболее активной в сентябре и октябре 2025 года. Основной упор делался на пользователей из стран ЕС и ЕЭЗ, но заражения также фиксировались в Японии. Целевой аудиторией стали разработчики и все, кто ищет инструменты для работы с кодом. Аналогичные вредоносные файлы маскировались и под другие популярные программы, включая Chrome, Notion, 1Password и Bitwarden.
Вредоносный установщик для Windows представлял собой многоступенчатый загрузчик, который в итоге доставлял HijackLoader, известный малварь-лоадер, часто используемый для последующей установки стилеров и других модулей. На macOS жертвы получали AMOS stealer. Технически атака была реализована очень сложно: первый этап выглядел как обычный .NET-установщик, внутри которого находился зашифрованный полезный код.
Особый интерес у исследователей вызвал механизм защиты от анализа. Вредоносная программа использовала GPU-интерфейсы через OpenCL, создавая иллюзию «GPU-шифрования». На практике этот код был реализован так, чтобы вводить аналитиков в заблуждение и мешать статическому анализу, а в песочницах и виртуальных средах часто просто ломал выполнение программы из-за отсутствия GPU-драйверов и OpenCL-окружения. Это вынуждало специалистов проводить анализ на физических машинах с видеокартой, что сильно усложняет исследование подобных образцов.
Дальнейшая цепочка заражения включала PowerShell-скрипты, добавление исключений в Microsoft Defender, создание планировщика задач для автозапуска и использование техники DLL sideloading, когда вредоносный код встраивается в легитимные библиотеки Windows. Финальным этапом становился HijackLoader, который проверял наличие антивирусных процессов AVG и Avast, мог задерживать выполнение и подгружал следующие модули, в том числе стилеры вроде LummaC2.
GitHub ещё в сентябре 2025 года заявил, что его команда безопасности знает о проблеме и работает над мерами защиты, однако на конец декабря эта техника всё ещё воспроизводилась. Фактически сама архитектура GitHub, при которой коммиты из форков остаются частью общей сети репозитория даже после удаления аккаунта, делает такие атаки сложными для отслеживания и очистки.
Эксперты предупреждают, что разработчики становятся особенно привлекательной целью, так как их компьютеры часто дают доступ к инфраструктуре компаний, исходным кодам и внутренним сервисам. Использование доверенных площадок вроде GitHub делает атаки ещё опаснее, так как у пользователей формируется ложное чувство безопасности.
Исследователи советуют загружать программы только со страниц официальных релизов проектов, внимательно проверять источники ссылок и с осторожностью относиться к рекламным объявлениям в поисковых системах, даже если они ведут на известные платформы. В эпоху цепочек поставок и сложных атак даже привычные сайты больше не гарантируют безопасность.