קודי, נגן המדיה החופשי , סובל מפרצת אבטחה חמורה שמסכנת את המשתמשים. כך עולה מאתר טורנט פריק. לפיו,תוספים רבים חשופים להשחתה בידי האקרים.

מפתחי קודי מאחסנים גם הם את התוספים בכתובת שקיבלו מגיטהאב, אתר משאבי מפתחים. הגולשים לוקחים ממנה את התוסף ומורידים אותו. פושעים יכולים לפתוח חשבון גיטהאב עם שם זהה לשל מפעיל תוסף שכבר סגר את החשבון, ולקבל גישה לכתובת האמורה. כך הגולשים יורידו ממנה קבצים, גם אם הותקנו בהם רכיבים זדוניים.

מהרגע שקודי מושך עדכונים מהכתובת בגיטהאב, אי אפשר לדעת שזו אותה הכתובת ששימשה את המפתח המקורי. ייתכן שהכתובת הפכה לאחסון של תוכנה מזיקה או וירוס ואלה עוברים למחשבי המשתמשים ללא ידיעתם. האקר מנוסה  אפילו יכול בקלות לחדור לכל מחשב שמתחבר לחשבון גיטהאב ומשם לקבל גישה לרשת הפנימית של המשתמש.

התקלה התגלתה כבר  לפני כשנתיים בידי מפתח בשם MetalKettle שסגר את חשבונו בגיטהאב והוחלף בידי מתחזה. חטיפת חשבונות גיטהאב דווחה בעוד כמה מקרים מאז, אך  היא עלתה שוב לדיון בפורומים של משתמשי קודי משום שאחסון של תוסף פופולרי שהופעל תחת השם 13Clowns סבל מהבעיה.

התוסף שאוחסן בחשבון החדש כלל גרסה של Exodus – זהו נחקר כבר בכמה מדינות בחשד להפרת חוקי זכויות יוצרים בגלל החיבור שלו ל-TVAddons, שאיתו אפשר לקלוט ערוצי טלוויזיה בתשלום בחינם.

. לפי תקנון השימוש של גיטהאב אסור להפעיל חשבונות ליצירה של פרצות אבטחה. באתר, שרכשה לאחרונה מיקרוסופט, מתייחסים לשימוש בשם משתמש שהיה קיים כפרצה והדבר נוגד את תנאי השימוש ככל שהחשבון המפר מדווח לאתר האחסון. גיטהאב קראה לשתמשים לדווח על תקריות של חטיפת חשבונות.