Salve, amigo! Tirei o post do ar por alguns motivos. PORÉM, acredito que os seguintes links devem responder algumas dúvidas tuas: https://perxibes.com.br/posts/github/ (link do meu post)
https://www.youtube.com/watch?v=nsm7tiyA3TA (vídeo principal)
https://www.bleepingcomputer.com/news/security/github-comments-abused-to-push-malware-via-microsoft-repo-urls/ https://www.mcafee.com/blogs/other-blogs/mcafee-labs/redline-stealer-a-novel-approach/ https://research.openanalysis.net/github/lua/2024/03/03/lua-malware.html
E uma dica de profissional para profissional, treine um pouco sobre comunicação não agressiva, isso vai alavancar sua carreira.
E aí. Não tenho nenhuma dúvida que precise ser esclarecida. E deixa eu te dar uma dica também:
O uso do GitHub (e outras plataformas semelhantes) por malwares não é nenhuma novidade e isso existe há muitos anos. Para citar um exemplo, essa matéria é de 2022: https://www.computerweekly.com/news/252528192/Iranian-APT-seen-exploiting-GitHub-repository-as-C2-mechanism.
E como eu já disse 3 meses atrás:
Não tem nada de errado nisso se é o que eles queriam. Se fosse não proposital, se eles quisessem limitar o upload, aí você estaria certo que seria um bug (mas não uma vulnerabilidade).
E sobre a questão do XSS que você alegou ter achado, permanece. Não queria falar isso por ser ofensivo, mas o "XSS em bucket" é até um meme em algumas comunidades.