Фахівці з кібербезпеки виявили масштабну кампанію, у межах якої зловмисники створили щонайменше 292 підроблені репозиторії на GitHub. Вони імітують відомі програмні продукти та поширюють інфостілер BoryptGrab, який краде паролі, дані криптогаманців та іншу конфіденційну інформацію.
Кампанію дослідили спеціалісти Arctic Wolf. За їхніми даними, атаки розпочалися 26 червня 2026 року та орієнтовані насамперед на користувачів Windows. Зловмисники не використовують вразливості GitHub, а роблять ставку на довіру користувачів, видаючи свої репозиторії за легітимні проєкти, інструменти для розробників, сервіси для роботи з криптовалютами, продукти компаній у сфері кібербезпеки та інше популярне програмне забезпечення.
Саме після того, як один із фейкових репозиторіїв почав видавати себе за проєкт Arctic Wolf, дослідники вирішили перевірити масштаб кампанії. Результати показали, що таких репозиторіїв виявилося сотні.
Шкідливий код не зберігається безпосередньо на GitHub. Репозиторії містять добре оформлені README-файли, які виглядають цілком правдоподібно, а також помітні кнопки чи посилання для завантаження. Після натискання користувач переходить на сторонній сайт, звідки завантажує троянізований інсталятор.
Після запуску такого інсталятора використовується техніка DLL sideloading, яка дозволяє непомітно активувати BoryptGrab. Після зараження шкідлива програма викрадає паролі, збережені у браузерах, дані криптовалютних гаманців та іншу конфіденційну інформацію із системи жертви.
Дослідники зазначають, що GitHub уже видалив значну частину виявлених репозиторіїв. Однак вони вважають, що оператор кампанії автоматизував створення нових акаунтів, тому після блокування одних репозиторіїв швидко з’являтимуться нові.
Це не перший випадок використання GitHub для поширення шкідливого програмного забезпечення. Лише минулого місяця дослідники повідомили про понад 10 тисяч підроблених репозиторіїв із троянами, а раніше фахівці також фіксували кампанії північнокорейських хакерів, фейкові репозиторії Microsoft і Google Chrome, а також атаки на AI-розробників через підроблені пропозиції з криптовалютними винагородами.
GitHub залишається одним із найважливіших майданчиків для розробників, але водночас дедалі частіше використовується кіберзлочинцями для поширення шкідливого ПЗ. Перед завантаженням будь-якого інструмента варто уважно перевіряти автора репозиторію та справжність посилань на завантаження.