El artículo describe la investigación de un desarrollador que afirma haber descubierto una posible campaña de distribución de malware a gran escala en GitHub.

El hallazgo surge de la detección de repositorios aparentemente distintos entre sí que comparten un patrón común: nombres y descripciones idénticas o muy similares, historial de commits copiado y actualizaciones frecuentes del archivo README con la inclusión de enlaces a archivos ZIP sospechosos.El autor explica cómo, tras encontrar su propio repositorio duplicado con cambios no autorizados, comenzó a rastrear casos similares.

Observó que estos repositorios no eran forks oficiales, sino copias independientes que replicaban contenido y mantenían una actividad de commits periódica para aparentar legitimidad.

Dentro de los archivos comprimidos vinculados en los READMEs, se incluían ejecutables y librerías que, según pruebas en VirusTotal, podían no ser detectadas inicialmente como maliciosas en el archivo comprimido, aunque sí al analizar su contenido interno.

Para analizar la escala del fenómeno, el investigador utilizó datos de actividad pública de GitHub (gharchive) y filtró millones de eventos de commits, identificando miles de repositorios con patrones de actualización sospechosos.

Tras aplicar más filtros relacionados con frecuencia de commits, estructura de contribuyentes y consistencia del historial, redujo el conjunto a un número menor de repositorios que cumplían estrictamente el patrón observado.

Finalmente, el análisis sugiere que podrían existir decenas de miles de repositorios implicados, aunque el propio autor reconoce limitaciones en su metodología.

También plantea hipótesis sobre el objetivo de la campaña, como el uso de SEO, la manipulación de confianza mediante historiales de commits y la evasión de detección automática.El artículo concluye señalando la dificultad de combatir este tipo de abuso a gran escala dentro de plataformas como GitHub.