Recentemente, saiu à luz uma campanha massiva que está explodindo a seção de Discussions do GitHub para enganar desenvolvedores e colar malware sob a aparência de avisos de segurança do Visual Studio Code. Segundo o relatório publicado pela assinatura de segurança Socket, os atacantes criam publicações que parecem notificações legítimas de vulnerabilidades — com títulos alarmistas, supostos identificadores CVE e, em muitos casos, a suplantação de mantenedores ou pesquisadores reais — com a intenção de que o destinatário baixe “parches” alojados fora dos canais oficiais.
O vector é simples mas eficaz: as publicações são geradas automaticamente desde contas novas ou pouco ativas e são publicadas em milhares de repositórios em questão de minutos. Ao etiquetar em massa a contribuintes ou “watchers”, essas mensagens disparam as notificações por e-mail do GitHub, chegando diretamente a bandejas de entrada onde, com a premura que provoca um aviso de segurança, podem ser ignorados sinais de alarme evidentes.
As entradas fraudulentas costumam incluir links para arquivos hospedados em serviços de terceiros como o Google Drive. Embora a simples vista Drive seja um serviço de confiança, é precisamente onde reside a armadilha: o link redirige a uma cadeia baseada em cookies que acaba levando ao domínio malicioso (por exemplo, drnatashachinn[.]com), onde um programa JavaScript é executado. Esse código não instala a carga maliciosa imediatamente; primeiro recolhe telemetria do visitante — zona horária, localização, agente de usuário, sistema operacional e pegadas que indicam automação — empacote esses dados e envia-os para um servidor de controle mediante pedido POST. Trata-se de uma técnica típica dos sistemas de distribuição de tráfego (TDS): filtrar bots e pesquisadores e entregar a segunda etapa apenas a vítimas validadas.
Socket não conseguiu capturar a segunda etapa, portanto, não está totalmente documentado que tipo de malware se distribuiria se a vítima passa esse filtro, embora a arquitetura e a escala sugerem que estamos diante de uma operação organizada e com recursos. É importante assinalar, além disso, que o programa inicial não tenta roubar credenciais nesse ponto, o que pode induzir a erro: a ausência de um roubo direto de credenciais não implica ausência de risco.
Esta não é a primeira vez que atores maliciosos abusam dos mecanismos de notificação e colaboração do GitHub. Nos últimos anos, surgiram diversas campanhas que aproveitaram comentários, pull requests ou até solicitações de autorização para aplicativos OAuth maliciosas para acessar contas e distribuir phishing. A novidade aqui é a combinação de suplantação de avisos de segurança de extensões de VS Code, links para “parches” fora do Marketplace e distribuição em larga escala através de Discussions.
Se você receber um alerta deste tipo, convém parar antes de agir. Verifica qualquer identificador de vulnerabilidade em fontes oficiais como o National Vulnerability Database (NVD), o catálogo de vulnerabilidades exploradas da CISA nos Estados Unidos ( Known Exploited Vulnerabilities) ou a base de dados Common Vulnerabilities and Exposures (CVE). Para extensões de Visual Studio Code, verifique a fonte no Marketplace oficial e confirma com os mantenedores do projeto do seu perfil ou canais oficiais antes de baixar ou instalar qualquer arquivo externo.
Também é recomendável rever como você recebe notificações no GitHub e reduzir a exposição desnecessária: olhar a configuração de e-mails e filtros em sua conta ajuda a reduzir o ruído e a probabilidade de cair em cogumelos. Se você detectar uma publicação suspeita, repórta-a ao GitHub para tomar medidas através do formulário de abuso ( Reportar abuso no GitHub) e veja como as notificações funcionam no seu perfil na documentação oficial ( Sobre notificações por e-mail no GitHub).
A lição para desenvolvedores e equipamentos de segurança é dupla: por um lado, manter a calma e verificar a proveniência de qualquer alerta usando canais e bases de dados verificadas; por outro, assumir que os espaços colaborativos massivos podem ser usados como vetores de distribuição e ajustar práticas de higiene digital: validar links, preferir instalações de fontes oficiais, desconfiar de downloads no Google Drive que supostamente substituam repositórios ou marketplaces, e exigir confirmações diretas dos mantenedores antes de aplicar “parches” urgentes.
A campanha descrita por Socket é um lembrete de que as plataformas que usamos para colaborar também são terreno fértil para o abuso, e que a confiança implícita em serviços populares pode ser manipulada por operações sofisticadas. Manter hábitos de verificação e aproveitar as fontes oficiais para contrastar alertas reduz drasticamente as chances de ser vítima.
Para quem quiser aprofundar a pesquisa original, o relatório técnico do Socket está disponível em seu blog: Widespread GitHub campaign uses fake VS Code security alerts to deliver malware.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...