Hace poco ha salido a la luz una campaña masiva que está explotando la sección de Discussions de GitHub para engañar a desarrolladores y colarles malware bajo la apariencia de avisos de seguridad de Visual Studio Code. Según el reporte publicado por la firma de seguridad Socket, los atacantes crean publicaciones que parecen notificaciones legítimas de vulnerabilidades —con títulos alarmistas, supuestos identificadores CVE y, en muchos casos, la suplantación de mantenedores o investigadores reales— con la intención de que el destinatario descargue “parches” alojados fuera de los canales oficiales.
El vector es sencillo pero efectivo: las publicaciones se generan de forma automática desde cuentas nuevas o poco activas y se publican en miles de repositorios en cuestión de minutos. Al etiquetar en masa a contribuidores o “watchers”, estos mensajes disparan las notificaciones por correo de GitHub, llegando directamente a bandejas de entrada donde, con la premura que provoca un aviso de seguridad, se pueden ignorar señales de alarma evidentes.
Las entradas fraudulentas suelen incluir enlaces a archivos alojados en servicios de terceros como Google Drive. Aunque a simple vista Drive es un servicio de confianza, ahí es precisamente donde radica la trampa: el enlace redirige a una cadena basada en cookies que acaba llevando al dominio malicioso (por ejemplo, drnatashachinn[.]com), donde se ejecuta un script JavaScript de reconocimiento. Ese código no instala la carga maliciosa de forma inmediata; primero recoge telemetría del visitante —zona horaria, localización, agente de usuario, sistema operativo y huellas que indican automatización— empaqueta esos datos y los envía a un servidor de control mediante una petición POST. Se trata de una técnica típica de los sistemas de distribución de tráfico (TDS): filtrar bots e investigadores y entregar la segunda etapa solo a víctimas validadas.
Socket no logró capturar la segunda etapa, por lo que no está plenamente documentado qué tipo de malware se distribuiría si la víctima pasa ese filtro, aunque la arquitectura y la escala sugieren que estamos ante una operación organizada y con recursos. Es importante señalar, además, que el script inicial no intenta robar credenciales en ese punto, lo que puede inducir a error: la ausencia de un robo directo de credenciales no implica ausencia de riesgo.
Esta no es la primera vez que actores maliciosos abusan de los mecanismos de notificación y colaboración de GitHub. En los últimos años han emergido diversas campañas que aprovecharon comentarios, pull requests o incluso solicitudes de autorización a aplicaciones OAuth maliciosas para acceder a cuentas y distribuir phishing. La novedad aquí es la combinación de suplantación de avisos de seguridad de extensiones de VS Code, enlaces a “parches” fuera del Marketplace y la distribución a gran escala a través de Discussions.
Si recibes una alerta de este tipo, conviene frenar antes de actuar. Verifica cualquier identificador de vulnerabilidad en fuentes oficiales como el National Vulnerability Database (NVD), el catálogo de vulnerabilidades explotadas de CISA en Estados Unidos (Known Exploited Vulnerabilities) o la base de datos de Common Vulnerabilities and Exposures (CVE). Para extensiones de Visual Studio Code, comprueba la fuente en el Marketplace oficial y confirma con los mantenedores del proyecto desde su perfil o canales oficiales antes de descargar o instalar cualquier archivo externo.
También es recomendable revisar cómo recibes notificaciones en GitHub y reducir la exposición innecesaria: mirar la configuración de correos y filtros en tu cuenta ayuda a reducir el ruido y la probabilidad de caer en señuelos. Si detectas una publicación sospechosa, repórtala a GitHub para que tomen medidas a través del formulario de abuso (Reportar abuso en GitHub) y revisa cómo funcionan las notificaciones en tu perfil en la documentación oficial (Sobre notificaciones por correo en GitHub).
La lección para desarrolladores y equipos de seguridad es doble: por un lado, mantener la calma y verificar la procedencia de cualquier alerta usando canales y bases de datos verificadas; por otro, asumir que los espacios colaborativos masivos pueden ser usados como vectores de distribución y ajustar prácticas de higiene digital: validar enlaces, preferir instalaciones desde fuentes oficiales, desconfiar de descargas en Google Drive que supuestamente sustituyan a repositorios o marketplaces, y exigir confirmaciones directas de los mantenedores antes de aplicar “parches” urgentes.
La campaña descrita por Socket es un recordatorio de que las plataformas que usamos para colaborar también son terreno fértil para el abuso, y que la confianza implícita en servicios populares puede ser manipulada por operaciones sofisticadas. Mantener hábitos de verificación y aprovechar las fuentes oficiales para contrastar alertas reduce drásticamente las probabilidades de ser víctima.
Para quien quiera profundizar en la investigación original, el informe técnico de Socket está disponible en su blog: Widespread GitHub campaign uses fake VS Code security alerts to deliver malware.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...