Därför är GitHub både internets ryggrad och dess största risk

GitHub är platsen där en stor del av världens mjukvara byggs, lagras och delas. Samtidigt har plattformen hösten 2025 blivit målet för några av de allvarligaste attackerna i open source-historien och dessutom föremål för en rättegång om hur AI-verktyget Copilot tränats på utvecklares kod. Två kriser samtidigt: säkerheten i mjukvarukedjan och frågan om vem som äger koden som matar AI.

För svenska utvecklare, studenter och hobbyprogrammerare spelar det här roll oavsett om du publicerar ett eget projekt eller bara installerar ett färdigt paket. Beroendet av GitHub och npm är så djupt att en enda komprometterad rad kod kan sprida sig till miljontals datorer.

Git och GitHub är inte samma sak

Git är ett versionskontrollsystem med öppen källkod. Linus Torvalds skapade det för att hålla ordning på Linux-kärnan och det körs lokalt på din dator för att spåra varje ändring i ett projekt.

GitHub är något annat. Det är en webbtjänst som lagrar Git-projekt online så att flera personer kan samarbeta, dela kod och se varandras historik. Många utvecklare använder dessutom sin GitHub-profil som ett levande CV, där arbetsgivare kan granska faktiska projekt istället för punktlistor i ett dokument.

Bredvid GitHub står npm, världens största kodbibliotek för JavaScript. Tänk dig ett enormt lager där färdiga komponenter ligger på hyllorna och vem som helst kan plocka ner dem till sitt projekt med ett kommando. Den smidigheten är också svagheten.

Tre attacker på sex veckor satte mjukvarukedjan i gungning

Under september 2025 drabbades npm och GitHub av tre massiva attacker på bara sex veckor. Det handlade inte om enskilda hackade konton, utan om angrepp riktade direkt mot de paket som tusentals andra projekt bygger vidare på.

I den så kallade Shai-Hulud-attacken komprometterades över 520 npm-paket. Det var den första kända självreplikerande masken som spreds genom själva mjukvarukedjan, alltså kod som automatiskt infekterade nya projekt allt eftersom den spreds vidare. Ungefär 700 privata GitHub-repositories gjordes publika, vilket exponerade företagshemligheter och API-nycklar för vem som helst att läsa.

I en separat attack mot paketen Chalk och Debug nådde angreppet kod som laddas ner 2,6 miljarder gånger i veckan. De 18 mest populära paketen som drabbades fanns alltså i en enorm andel av världens JavaScript-projekt. Tusentals inloggningsuppgifter till AWS, Azure och Google Cloud stals och kända aktörer som Netflix, NASA, PayPal och flera banker påverkades på olika sätt.

Det här är kärnan i problemet: när infrastrukturen är gemensam, blir ett enda intrång allas problem. Computer Sweden har rapporterat om hur hackare injicerat skadlig kod i mjukvara på GitHub och hur attackerna påverkat hela ekosystemet.

Så fungerar ett angrepp mot mjukvarukedjan

Ett angrepp mot mjukvarukedjan (supply chain attack på engelska) träffar inte din kod direkt. Det träffar något du litar på och bygger vidare på. Mönstret ser oftast ut så här:

• Kapning av ett populärt paket. Angriparen tar över ett konto eller smyger in skadlig kod i ett paket som redan har miljontals nedladdningar.
• Automatisk spridning. När andra utvecklare uppdaterar sina beroenden hämtar de in den infekterade versionen utan att märka något.
• Stöld i bakgrunden. Den injicerade koden letar efter lösenord, API-nycklar och molnuppgifter och skickar dem vidare.
• Vidare spridning. I fallet Shai-Hulud använde koden de stulna uppgifterna för att infektera ännu fler projekt på egen hand.

Det är just därför en enda komprometterad rad kan nå långt. Du behöver inte göra något fel själv för att drabbas. Det räcker att ett paket du redan använder blir kapat.

AI gör det svårare att se vad som är äkta

En oväntad effekt av AI-kodning är att den gör vissa angrepp mer trovärdiga. Kampanjen GitVenom, som riktat in sig på utvecklare i bland annat Ryssland, Brasilien och Turkiet, använde falska men välskrivna projekt med AI-genererad dokumentation och täta uppdateringar för att framstå som seriösa.

Tänk efter hur du själv bedömer ett okänt paket. Du tittar på dokumentationen, antalet uppdateringar och hur aktivt projektet ser ut. När AI kan producera snygg dokumentation på sekunder, faller flera av de gamla tumreglerna.

GitVenom-projekten innehöll lösenordsstjälare, bakdörrar, tangentbordsloggar och program som byter ut kopierade kryptoadresser. Microsoft har dessutom undersökt en separat incident där skadlig kod injicerats i open source-projekt kopplade till AI och molntjänster som VS Code och Azure och tillfälligt plockat bort berörda projekt för att stoppa spridningen.

Rättegången handlar om vem som äger koden bakom Copilot

Parallellt med säkerhetskrisen pågår en juridisk strid om GitHub Copilot. Den 3 november inledde advokaten Matthew Butterick och advokatbyrån Joseph Saveri en federal rättegång i San Francisco mot Microsoft, GitHub och OpenAI.

Kärnan i tvisten är enkel att förstå även utan juridisk bakgrund. Copilot är tränad på enorma mängder publik kod från GitHub. Stämningen drivs på uppdrag av miljontals användare vars kod ska ha använts för att träna verktyget utan ersättning eller erkännande.

AI lär sig genom att registrera mönster i befintligt material och sedan återskapa liknande mönster. Frågan är om det räknas som inspiration eller som kopiering av andras arbete.

Processen är i ett tidigt skede. Men utfallet kan påverka hur framtida AI-verktyg får tränas och därmed villkoren för all kod du själv lägger upp offentligt. Vill du förstå verktyget bättre först, har vi en separat genomgång av hur GitHub Copilot fungerar.

GitHub bygger samtidigt nya skydd

Det är inte en ensidig dyster bild. Samma plattform som drabbats hårt har också byggt skydd som faktiskt fungerar i praktiken.

Med funktionen push protection stoppade GitHub 8,3 miljoner hemliga lösenord från att av misstag laddas upp publikt under tolv månader. Funktionen fångar lösenord och nycklar innan de hamnar i ett offentligt repository, alltså precis det misstag som annars läcker ut känsliga uppgifter.

På AI-sidan visar siffrorna varför verktygen sprids så snabbt trots oron. Duolingo ökade sin utvecklingshastighet med 25 procent med Copilot, Mercado Libre halverade sin kodningstid och funktionen Copilot Autofix minskade tiden att åtgärda säkerhetshål med 70 procent. GitHub placerades också i Gartners Magic Quadrant för AI-kodassistenter 2025.

Två sanningar samtidigt: AI gör utvecklare snabbare och AI öppnar nya vägar för angrepp. Båda är verkliga. Den bredare frågan om hur AI förändrar utvecklarnas arbetsuppgifter är något vi tittat närmare på i en separat artikel.

Vad det betyder för dig som svensk utvecklare

Du behöver inte sluta använda GitHub eller npm. De är fortfarande grunden för modern utveckling. Men det är värt att förstå att varje paket du installerar är ett förtroende du ger till någon du sällan har träffat.

Några konkreta vanor minskar risken markant:

• Lås versioner i ditt projekt. Låt inte beroenden uppdateras automatiskt till senaste version utan att du vet vad som ändrats.
• Granska nya paket innan du installerar. Kolla underhåll, antal beroenden och om koden ser rimlig ut, inte bara om dokumentationen är snygg.
• Lägg aldrig nycklar i koden. Använd miljövariabler och håll API-nycklar utanför ditt repository. Behöver du generera starka hemligheter snabbt finns vår [lösenordsgenerator](https://monc.se/losenordsgenerator/) och [hash- och kryptoverktyg](https://monc.se/hashverktyg/).

Sverige tar problemet på allvar på systemnivå. Regeringen har beslutat om åtgärder för att stärka motståndskraften i landets digitala infrastruktur och MSB sammanställer årligen rapporter om it-incidenter och cyberangrepp. Den enskilde utvecklaren är en del av samma kedja.

FAQ

Vad är skillnaden mellan Git och GitHub?

Git är ett versionskontrollsystem som körs lokalt på din dator och spårar ändringar i din kod. GitHub är en webbtjänst som lagrar Git-projekt online så att du kan dela kod, samarbeta med andra och visa upp dina projekt. Du kan använda Git helt utan GitHub.

Vad var Shai-Hulud-attacken?

Shai-Hulud var ett angrepp mot npm i september 2025 där över 520 paket komprometterades. Det räknas som den första kända självreplikerande masken som spreds genom mjukvarukedjan, vilket innebär att den skadliga koden automatiskt infekterade nya projekt på egen hand.

Är GitHub Copilot olagligt?

Nej, GitHub Copilot är ett fullt tillgängligt och lagligt verktyg. Den 3 november inleddes dock en rättegång i San Francisco om hur Copilot tränats på publik kod utan ersättning till upphovspersonerna. Processen är i ett tidigt skede och inget beslut är fattat om huruvida träningen bröt mot upphovsrätten.

Hur skyddar jag mig mot komprometterade npm-paket?

Lås versionerna av dina beroenden, undvik att uppdatera automatiskt till senaste version och granska nya paket innan installation. Lägg aldrig API-nycklar eller lösenord direkt i koden, utan använd miljövariabler. Dessa vanor stoppar de vanligaste sätten skadlig kod sprider sig på.

Kan min egen kod på GitHub bli stulen?

Publik kod är synlig för alla, inklusive AI-verktyg som tränas på den, vilket är kärnan i den pågående rättegången om Copilot. Privata repositories är skyddade men under attackerna hösten 2025 gjordes omkring 700 privata repositories publika av misstag. Lägg därför aldrig känsliga nycklar i koden, oavsett om projektet är privat eller publikt.