GitHub作为全球最大的代码托管平台，其开放性也为网络攻击提供了可乘之机。近日，安全研究人员披露了一起大规模恶意软件分发行动，攻击者在GitHub上创建了超过10,000个独立仓库，这些仓库虽然来自不同的贡献者、拥有不同的名称且并非其他仓库的分支，但均遵循一个共同模式：通过不断更新README文件植入恶意ZIP压缩包的下载链接，并以频繁删除并重新提交相同commit的方式规避检测。这种高度自动化的行为模式使得传统基于哈希或签名的安全扫描手段难以有效识别，且在短时间内将恶意仓库的数量扩充至万级，已构成对开发者和企业的重大供应链安全威胁。此次事件再次凸显了加强开源代码信任链验证的重要性，也提示开发者需对任何来自外部仓库、尤其是README中诱导下载的可执行文件保持高度警惕。