Эксперты начали расследование после того, как обнаружили вредоносную версию браузера Jxplorer. В общей сложности они обнаружили 89 учетных записей, «продвигавших» 79 репозиториев, содержащих свыше 300 приложений с бэкдорами, в том числе вредоносные версии компиляторов MinGW и GCC, библиотек Ffmpeg, EasyModbus и различных игр на Java. В частности, один из аккаунтов, зарегистрированный на имя Эндрю Данкинса (Andrew Dunkins), включал 305 вредоносных ELF-файлов, еще 73 приложения содержались в остальных 88 учетных записях .
Как отмечается, ряд «чистых» учетных записей использовался для повышения позиций вредоносных репозиториев в результатах поиска на GitHub. В настоящее время все вредоносные аккаунты удалены с GitHub.