Фейковые уведомления VS Code на GitHub распространяют вредоносное ПО среди разработчиков

Github vs Code вредоносное по фишинг уязвимости безопасность bleepingcomputer.com

Масштабная кампания нацелена на разработчиков на GitHub с использованием фейковых уведомлений о безопасности Visual Studio Code (VS Code) в разделе Discussions для распространения вредоносного ПО. Злоумышленники используют реалистичные заголовки и выдают себя за сопровождающих код, чтобы обманом заставить жертв загружать файлы через внешние сервисы. — bleepingcomputer.com

Масштабная кампания нацелена на разработчиков на GitHub: в разделе Discussions различных проектов размещаются поддельные уведомления о безопасности Visual Studio Code (VS Code) с целью заставить пользователей загрузить вредоносное ПО.

Спам-сообщения оформлены как уведомления об уязвимостях и содержат реалистичные заголовки вроде «Критическая уязвимость — требуется немедленное обновление», часто включая фальшивые идентификаторы CVE и призывы к срочным действиям.

Во многих случаях злоумышленник выдает себя за реальных сопровождающих код или исследователей, чтобы создать ложное чувство легитимности.

Компания по безопасности приложений Socket заявляет, что эта активность выглядит как часть хорошо организованной, крупномасштабной операции, а не узконаправленной, оппортунистической атаки.

Обсуждения размещаются автоматически с недавно созданных или малоактивных учетных записей в тысячах репозиториев в течение нескольких минут, что инициирует отправку уведомлений по электронной почте большому числу отмеченных пользователей и подписчиков.

Фейковые уведомления VS Code на GitHub распространяют вредоносное ПО среди разработчиков
Фейковые уведомления о безопасности в GitHub DiscussionsИсточник: Socket

«Предварительные поиски показывают тысячи почти идентичных сообщений в репозиториях, что указывает на то, что это не единичный случай, а скоординированная спам-кампания», — заявляют исследователи Socket в отчете на этой неделе.

«Поскольку GitHub Discussions инициируют уведомления по электронной почте для участников и наблюдателей, эти сообщения доставляются непосредственно во входящие ящики разработчиков».

Сообщения содержат ссылки на якобы исправленные версии затронутых расширений VS Code, размещенные на внешних сервисах, таких как Google Drive.

Фейковые уведомления VS Code на GitHub распространяют вредоносное ПО среди разработчиков
Пример фейкового уведомления о безопасностиИсточник: Socket

Хотя Google Drive, очевидно, не является официальным каналом распространения программного обеспечения для расширений VS Code, это доверенный сервис, и пользователи, действующие поспешно, могут не заметить тревожного сигнала.

Переход по ссылке Google инициирует цепочку перенаправлений, управляемую файлами cookie, которая приводит жертв на drnatashachinn[.]com, где выполняется скрипт разведки на JavaScript.

Этот полезный груз собирает информацию о часовом поясе жертвы, локали, user agent, деталях об ОС и индикаторах автоматизации. Данные упаковываются и отправляются на командный центр посредством POST-запроса.

Фейковые уведомления VS Code на GitHub распространяют вредоносное ПО среди разработчиков
Деобфусцированный JS-полезный грузИсточник: Socket

Этот шаг служит уровнем фильтрации системы распределения трафика (TDS), профилируя цели для отсеивания ботов и исследователей и доставляя второй этап только подтвержденным жертвам.

Socket не зафиксировал полезную нагрузку второго этапа, но отметил, что JS-скрипт не доставляет ее напрямую и не пытается собрать учетные данные.

Это не первый случай, когда злоумышленники злоупотребляют легитимными системами уведомлений GitHub для распространения фишинга и вредоносного ПО.

В марте 2025 года масштабная фишинговая кампания нацелилась на 12 000 репозиториев GitHub с поддельными уведомлениями о безопасности, призванными заставить разработчиков авторизовать вредоносное OAuth-приложение, которое давало злоумышленникам доступ к их учетным записям.

В июне 2024 года злоумышленники инициировали систему электронной почты GitHub через спам-комментарии и pull-запросы, отправленные в репозитории, чтобы направить цели на фишинговые страницы.

При получении уведомлений о безопасности пользователям рекомендуется проверять идентификаторы уязвимостей в авторитетных источниках, таких как Национальная база данных уязвимостей (NVD), каталог CISA по известным эксплуатируемым уязвимостям или веб-сайт MITRE для программы Общие уязвимости и воздействия (Common Vulnerabilities and Exposures).

Следует уделить время на оценку их легитимности, прежде чем предпринимать действия, и искать признаки мошенничества, такие как внешние ссылки для загрузки, непроверяемые CVE и массовое тегирование не связанных пользователей.

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

Похожие новости: