O GitHub está lutando para conter um ataque contínuo que está inundando o site com milhões de repositórios de código. Esses repositórios contêm malware ofuscado que rouba senhas e criptomoedas de dispositivos de desenvolvedores, disseram pesquisadores. Os repositórios maliciosos são clones de repositórios legítimos, tornando-os difíceis de distinguir para o olho casual.

Uma parte desconhecida automatizou um processo que bifurca (fork) repositórios legítimos, o que significa que o código-fonte é copiado para que os desenvolvedores possam usá-lo em um projeto independente que se baseia no original. O resultado são milhões de bifurcações com nomes idênticos ao original, que adicionam uma carga útil envolvida em sete camadas de ofuscação.

Para piorar a situação, algumas pessoas, sem saber da malícia desses imitadores, estão bifurcando as bifurcações, o que aumenta a inundação. “A maioria dos repositórios bifurcados é rapidamente removida pelo GitHub, que identifica a automação”, escreveram Matan Giladi e Gil David, pesquisadores da empresa de segurança Apiiro, na quarta-feira.

“No entanto, a detecção de automação parece perder muitos repositórios, e os que foram carregados manualmente sobrevivem. Como toda a cadeia de ataque parece ser principalmente automatizada em larga escala, o 1% que sobrevive ainda representa milhares de repositórios maliciosos.”

Dado o constante fluxo de novos repositórios sendo carregados e a remoção pelo GitHub, é difícil estimar precisamente quantos de cada um existem. Os pesquisadores disseram que o número de repositórios carregados ou bifurcados antes do GitHub removê-los provavelmente está na casa dos milhões. Eles disseram que o ataque “impacta mais de 100.000 repositórios do GitHub”.