Не один здравомыслящий человек инжектить вредоносный код в опенсорс не будет ибо это сразу подорвет репутацию, как только кто-либо подобный код обнаружит.
Однако github сам никак не проверяет, что в него заливают (кроме размера файла) и теоретически в него можно залить что угодно