O GitHub está a tornar-se rapidamente a plataforma de eleição para a partilha de software. Originalmente concebido para permitir a colaboração entre programadores no desenvolvimento de código, acolhe agora milhões de projetos, que vão desde scripts amadores até aplicações amplamente utilizadas. Essa popularidade, no entanto, também o tornou uma plataforma atraente para os cibercriminosos.
Para a maioria dos utilizadores particulares, o GitHub não é algo que seja necessário utilizar no dia-a-dia. Poderá deparar-se com ele ao procurar uma ferramenta, ao seguir instruções de instalação ou ao experimentar algo recomendado num fórum ou nas redes sociais. E é aí que começa o risco. O GitHub não é uma loja de aplicações. Não verifica a segurança de todos os repositórios e qualquer pessoa pode carregar código, incluindo cibercriminosos.
Campanhas recentes destacam como isto pode ser alvo de abuso. Temos visto cibercriminosos a criar repositórios convincentes que se fazem passar por marcas conhecidas, como Malwarebytes a LastPass, oferecendo downloads que estão longe de ser legítimos. Noutros casos, foram criados centenas de repositórios para distribuir versões com trojans de software popular. Estas páginas têm frequentemente um aspeto profissional, incluem documentação e até simulam interação dos utilizadores para parecerem fiáveis.
Também observámos campanhas direcionadas a grupos específicos, incluindo fãs de jogos retro, pessoas à procura de agentes de IA gratuitos, utilizadores do OpenClaw e pessoas que procuramo serviço AppleCare+.
O que é exatamente o GitHub e quando se deve utilizá-lo?
Na sua essência, o GitHub é uma plataforma de alojamento de código. Os programadores utilizam-na para partilhar código-fonte, acompanhar alterações e colaborar. Para os utilizadores particulares, as suas utilizações legítimas incluem:
- Aceder a ferramentas de código aberto que não estão disponíveis noutros locais
- Descarregar atualizações ou versões beta diretamente dos programadores
- Analisar o código-fonte para compreender como funciona o software
Para os programadores, o GitHub é indispensável. Para os utilizadores particulares, é opcional e deve ser abordado com a mesma cautela que se aplicaria ao descarregar ficheiros de qualquer outro sítio na Internet.
A menos que tenha um motivo específico, não precisa de descarregar software do GitHub. A maioria das aplicações mais conhecidas tem sites oficiais ou canais de distribuição fiáveis. Se se encontrar no GitHub porque um resultado de pesquisa ou um guia online o levou até lá, esse é um bom momento para parar um pouco e verificar o que está a ver.
Como se manter seguro
Os repositórios maliciosos recorrem frequentemente a uma combinação de engenharia social e atalhos técnicos. Alguns sinais de alerta incluem:
- Falsificação de marca: O repositório afirma ser de uma empresa conhecida, mas o nome da conta não corresponde ao da organização oficial. Os atacantes recorrem frequentemente a variações subtis ou a contas recém-criadas.
- Contas criadas recentemente: Um repositório associado a uma conta criada há alguns dias ou semanas constitui um sinal de alerta, especialmente se alegar hospedar software já consolidado.
- Métodos de transferência invulgares: Os projetos legítimos costumam disponibilizar o código-fonte e, quando apropriado, versões claramente documentadas. Tenha cuidado se for incentivado a transferir ficheiros executáveis diretamente a partir de links ou arquivos pouco conhecidos.
- Atividade exagerada ou falsa: o número de estrelas, os forks e as questões podem ser manipulados. Um repositório com muitas estrelas, mas com pouca discussão significativa ou histórico de contribuições, pode não ser o que parece.
- Documentação deficiente ou genérica: muitos repositórios maliciosos copiam texto de projetos legítimos, mas não conseguem manter a coerência. Esteja atento a instruções vagas, links que não funcionam ou identidade visual inconsistente.
- Avisos de segurança ignorados: Se o seu navegador, antivírus ou sistema operativo alertar para um download, leve isso a sério. Estes avisos são, muitas vezes, a sua primeira linha de defesa.
Os cibercriminosos estão cada vez mais a aproveitar-se de plataformas de confiança para se misturarem e contornarem as defesas tradicionais. É fundamental reconhecer essa mudança. Da próxima vez que aceder a uma página do GitHub que ofereça um download conveniente, observe com mais atenção. Alguns segundos a mais de análise podem impedir que instale algo que nunca tencionou instalar.
- Utilize uma solução antimalware atualizada e em tempo real e não ignore os seus avisos — mesmo que, ou sobretudo se, o «programador» lhe diga para contar com eles.
- Lembre-se de que os repositórios do GitHub não são submetidos a um processo de verificação. A responsabilidade de decidir o que pode descarregar com segurança recai, em última instância, sobre si.
- Normalmente, é mais seguro começar pelo site oficial do fornecedor e seguir a ligação para o GitHub, em vez de fazer o contrário.
Não nos limitamos a comunicar as ameaças - eliminamo-las
Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.




