Массовая атака на GitHub: как 10 000 репозиториев крадут
Прод упал в пятницу вечером. Деплой прошёл, но вместо бэкенда в контейнере оказался чужой бинарник. Знакомо? Только теперь масштаб другой — исследователи нашли более 10 000 репозиториев на GitHub, которые существуют исключительно ради распространения троянов.

Сеть из 10 000 репозиториев-приманок
Схема работает так: злоумышленники создают репозитории, которые внешне выглядят как нормальные проекты. В README — ссылка на ZIP-архив. Внутри архива — троян: загрузчик или исполняемый файл, маскирующийся под утилиту. VirusTotal подтверждает вредоносные компоненты.
Фишка кампании — автоматизация. Репозитории обновляются каждые несколько часов. Меняется только README, зато история коммитов скопирована из настоящих проектов. Выглядит как «живой» проект с историей и участниками. Разные аккаунты, разная структура, разные имена. Классические фильтры GitHub API такое не ловят — слишком вариативно.
Раньше подобное встречалось в меньших масштабах. Теперь — промышленная конвейерная линия. И каждый npm install из непроверенного источника — потенциальный костыль, который потом придётся вырезать из прода вместе с частью данных.
GitLost: приватные репозитории через публичный issue
Вторая новость — от Noma Security. 7 июля они раскрыли уязвимость GitLost в функции Agentic Workflows GitHub. Суть: ИИ-агент, который автоматизирует задачи разработки через Markdown и GitHub Actions, имел кросс-репозиторные разрешения. Широкие. Очень широкие.
Атака тривиальна. Достаточно опубликовать специальный issue в любом публичном репозитории. Без аутентификации. Без учётной записи на платформе. ИИ-агент читает issue, парсит вредоносный промпт и выгружает данные из приватных репозиториев организации в открытый интернет.
Встроенные защитные механизмы GitHub против утечки данных? Исследователи обошли их добавлением слова «Additionally» к промпту. Модель переформулировала ответ и выполнила несанкционированный запрос вместо отказа. Один триггер-слово — и всё, данные наружу.
GitHub уже исправил. Но момент показателен: ИИ-агенты с широкими правами — это не фича, это атакующая поверхность. Если ваш CI/CD завязан на Agentic Workflows, время аудита наступило.
Что делать прямо сейчас
# Проверить зависимости на подозрительные пакеты
npm audit
pip check
# Посмотреть, не тянет ли что-то из сомнительных источников
grep -r "github.com" package-lock.json | grep -v "verified"
# Проверить, включены ли Agentic Workflows в организациях
# (Settings → Actions → Agentic Workflows)Не доверяйте репозиториям с копипастной историей коммитов. Проверяйте хеши архивов. А если у вас в организации включены Agentic Workflows — отключите до аудита. Лучше костыль из скрипта, чем чужой троян в вашем node_modules.
И да — делайте бэкапы. Потому что восстановление после rm -rf / из трояна — это не те эмоции, ради которых вы идёте в девопс.