Eine massive Kampagne ist vor kurzem zu Licht gekommen, die den GitHub-Diskussions-Bereich nutzt, um Entwickler zu tricksen und sie Malware unter dem Aussehen von Visual Studio Code Sicherheitshinweise zusammenzufassen. Laut dem von der Sicherheitsfirma Socket veröffentlichten Bericht erstellen die Angreifer Publikationen, die als legitime Berichte von Schwachstellen erscheinen - mit alarmistischen Titeln, angeblichen CVE-Identifikationen und in vielen Fällen die Supplantierung von realen Betreuern oder Forschern - mit der Absicht des Empfängers "Patches" herunterladen außerhalb der offiziellen Kanäle.
Der Vektor ist einfach, aber effektiv: Publikationen werden automatisch aus neuen oder unaktiven Konten generiert und innerhalb von Minuten in tausenden von Repositories veröffentlicht. Durch die Massenkennzeichnung von Beiträgen oder "Beobachter" lösen diese Meldungen GitHubs Mail-Benachrichtigungen aus, die direkt Eingabefächer erreichen, in denen mit der Eile, die einen Sicherheitshinweis verursacht, offensichtliche Alarmsignale ignoriert werden können.
Betrugseinträge beinhalten häufig Links zu Dateien, die in Drittanbieter-Diensten wie Google Drive gehostet werden. Obwohl mit der nackten Ansicht Drive ist ein vertrauenswürdiger Service, das ist genau dort, wo die Falle liegt: der Link umleitet zu einer Cookie-basierten Kette, die bis zu der bösartigen Domain (z.B. Drnatashachin [.] com) führt, wo ein JavaScript-Erkennungsskript ausgeführt wird. Dieser Code installiert nicht sofort die schädliche Last; zuerst sammelt er Telemetrie vom Besucher - Zeitzone, Ort, Benutzer Agent, Betriebssystem und Drucke, die Automatisierung anzeigen - es verpackt diese Daten und sendet sie an einen Steuerserver mittels einer POST-Anforderung. Dies ist eine typische Technik der Verkehrsverteilungssysteme (TDS): Filter Bots und Forscher und liefern die zweite Stufe nur an validierte Opfer.
Socket hat die zweite Etappe nicht erfasst, so ist es nicht vollständig dokumentiert, welche Art von Malware verteilt werden würde, wenn das Opfer diesen Filter passiert, obwohl die Architektur und Skala vorschlagen, dass wir eine organisierte Operation mit Ressourcen. Es ist auch wichtig zu beachten, dass das erste Skript nicht versucht, Anmeldeinformationen an diesem Punkt zu stehlen, was zu Fehler führen kann: Das Fehlen einer direkten Diebstahl von Anmeldeinformationen bedeutet nicht, dass kein Risiko besteht.
Dies ist nicht das erste Mal, dass bösartige Schauspieler GitHubs Reporting- und Kollaborationsmechanismen missbrauchen. In den letzten Jahren hat sich eine Reihe von Kampagnen ergeben, die von Kommentaren, Presseanfragen oder sogar Anträgen auf Autorisierung für bösartige OAuth-Anwendungen profitieren, um auf Konten zuzugreifen und Phishing zu verteilen. Die Neuheit hier ist die Kombination der Supplantierung von VS-Code-Erweiterung Sicherheitshinweise, Links zu "Patches" außerhalb des Marktplatzes und große Verteilung durch Diskussion.
Wenn Sie eine solche Warnung erhalten, sollten Sie aufhören, bevor Sie handeln. Verifizieren Sie alle Schwachstellenkennung in offiziellen Quellen als Nationale Vulnerability Datenbank (NVD) den Katalog der ausgenutzten Sicherheitslücken von CISA in den Vereinigten Staaten ( Bekannte ausgeschöpfte Schwachstellen) oder die Datenbank Gemeinsame Schwachstelle und Expositionen (CVE). Für Erweiterungen von Visual Studio Code, überprüfen Sie die Quelle an der Offizielles Marketing und bestätigt mit den Projektbetreuern aus ihrem Profil oder offiziellen Kanälen, bevor Sie eine externe Datei herunterladen oder installieren.
Es wird auch empfohlen, zu überprüfen, wie Sie Benachrichtigungen in GitHub erhalten und unnötige Exposition zu reduzieren: Blick auf die Post- und Filtereinstellungen in Ihrem Konto hilft, Lärm zu reduzieren und die Wahrscheinlichkeit, in Lures zu fallen. Wenn Sie eine verdächtige Veröffentlichung erkennen, melden Sie es an GitHub, um Maßnahmen durch das Missbrauchsformular zu ergreifen ( Missbrauch melden in GitHub) und überprüfen, wie Benachrichtigungen auf Ihrem Profil in der offiziellen Dokumentation funktionieren ( Über Mail-Benachrichtigungen in GitHub)
Die Lektion für Entwickler und Sicherheitsausrüstung ist doppelt: Auf der einen Seite, halten Sie ruhig und überprüfen Sie den Ursprung der Warnung mit verifizierten Kanälen und Datenbanken; auf der anderen, vermuten, dass Massenkollaborationsräume als Verteilungsvektoren verwendet werden können und digitale Hygiene-Praktiken anpassen: validieren Sie Links, bevorzugen Einrichtungen aus offiziellen Quellen, Misstrauen von Google Drive Downloads, die angeblich Repositories oder Marktplätze ersetzen, und fordern direkte Bestätigungen von den Betreuern vor der Anwendung dringender.
Die von Socket beschriebene Kampagne erinnert daran, dass die Plattformen, mit denen wir zusammenarbeiten, auch fruchtbare Gründe für Missbrauch sind und dass das implizite Vertrauen in populäre Dienste durch anspruchsvolle Operationen manipuliert werden kann. Die Erhaltung der Verifikationsgewohnheiten und die Nutzung von offiziellen Quellen zu Kontrastalarmen drastisch reduziert die Wahrscheinlichkeit eines Opfers.
Für diejenigen, die die ursprüngliche Forschung vertiefen wollen, ist der technische Bericht von Socket auf Ihrem Blog verfügbar: Widespread GitHub Kampagne verwendet gefälschte VS Code Sicherheitsalarme, um Malware zu liefern.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...