Över 200 GitHub-förråd döljer skadlig kod, inklusive fjärråtkomsttrojaner
Säkerhetsföretaget Socket har avslöjat en omfattande skadlig kodkampanj som utnyttjat över 200 kodförråd på GitHub. Angriparna spred fjärråtkomstverktyg och skadlig programvara.

Säkerhetsföretaget Socket har identifierat en storskalig skadlig kodkampanj som utnyttjat GitHub-plattformen. Kampanjen, med kodnamnet "Muck and Load", har använt mer än 200 kodförråd för att distribuera olika typer av skadlig programvara, inklusive fjärråtkomsttrojaner (RAT), informationsstöldprogram och programvara för kryptovalutautvinning.
Genom att utge sig för att vara ett Go-modul för DNS- och subdomänsökning, har angripare sedan början av 2026 lockat utvecklare och användare att ladda ner skadlig programvara via GitHub. Ett specifikt identifierat skadligt Go-modul, ursprungligen kallat "dnsub-scanning-tool", utgav sig för att vara ett legitimt öppen källkodsprojekt. Modulens versionshistorik visade ovanlig aktivitet med över 1 200 utgivna versioner inom några månader, varav över 700 identifierades som skadliga.
Distributionen av den skadliga koden innefattade avancerade tekniker där den slutliga nyttolasten hämtades från flera offentliga tjänster, inklusive Pastebin och Lum, samt sociala medieplattformar. Detta tillät angriparna att snabbt uppdatera nyttolastens plats utan att behöva modifiera den första fasens skadliga kod.
Kampanjen verkar vara kopplad till en tidigare, liknande bakdörrskampanj på GitHub som rapporterades av Sophos 2025. Båda kampanjerna har associerats med en gemensam domän och en misstänkt e-postadress. GitHub och Go-säkerhetsteamet har inte kommenterat officiellt, men de skadliga modulerna har blockeras från Go-modulproxyn.