GitHub-Phishing: Falsche VS Code Sicherheitswarnungen

GitHub Malware VS Code Security Alert GitHub Discussions Exploit Developer Security Phishing Campaign Cybersecurity
T
Tom Jefferson

CEO & Co-Founder

 
31. März 2026
3 Min. Lesezeit
GitHub-Phishing: Falsche VS Code Sicherheitswarnungen

TL;DR

Eine massive Phishing-Welle auf GitHub nutzt die Diskussionsfunktion, um gefälschte Sicherheitswarnungen für Visual Studio Code zu verbreiten. Da Benachrichtigungen direkt per E-Mail an Nutzer versendet werden, umgehen die Angreifer klassische Spam-Filter und erhöhen die Glaubwürdigkeit ihrer Köder.

Automatisierte Verbreitung über GitHub Discussions

Die Kampagne zeichnet sich durch ihr enormes Ausmaß aus. Forscher von Socket berichten, dass innerhalb kürzester Zeit tausende fast identische Nachrichten in verschiedenen Repositories aufgetaucht sind. Die Angreifer missbrauchen dabei die Funktion GitHub Discussions, um gefälschte Sicherheitswarnungen für Visual Studio Code zu verbreiten. Da Discussions Benachrichtigungen per E-Mail an Teilnehmer und Follower versendet, erreichen die Nachrichten auch Entwickler außerhalb der Plattform, was die Glaubwürdigkeit und Reichweite des Angriffs massiv erhöht. Diese Methode ermöglicht es den Bedrohungsakteuren, herkömmliche Spam-Filter zu umgehen, indem sie täuschend echte Köder über eine vertrauenswürdige Plattform direkt in die Posteingänge der Entwickler schleusen.

Bild mit freundlicher Genehmigung von Cybersecurity News

Vorgetäuschte Sicherheitshinweise und Social Engineering

Die gefälschten Beiträge tarnen sich als offizielle Sicherheitshinweise (Security Advisories) und nutzen alarmierende Titel wie „Visual Studio Code – Severe Vulnerability – Immediate Update Required“ oder „Critical Exploit – Urgent Action Needed“. Um Vertrauen zu erwecken, führen diese Nachrichten oft fiktive CVE-Identifikatoren und spezifische VS-Code-Versionen an. In vielen Fällen geben sich die Angreifer als bekannte Maintainer oder Sicherheitsforscher aus. Die Nutzer werden gedrängt, eine „gepatchte“ Version über externe Download-Links zu installieren, die häufig auf File-Sharing-Diensten wie Google Drive gehostet werden. Dies weicht zwar von der normalen Verteilung von VS-Code-Erweiterungen ab, doch durch die Nutzung bekannter Drittanbieter-Dienste fällt die Bedrohung gestressten Entwicklern oft nicht sofort ins Auge.

Gefälschter GitHub Discussion Alert (Quelle - Socket.dev)

Bild mit freundlicher Genehmigung von Socket.dev

Mehrstufige Weiterleitung und Browser-Profiling

Die Analyse der Angriffsinfrastruktur offenbart ein hochentwickeltes Traffic Distribution System (TDS). Klickt ein Nutzer auf den Link, wird er zunächst über einen Google-Share-Endpunkt geleitet. Dort teilt sich der Pfad: Nutzer mit einem gültigen Google-Cookie werden zu einer vom Angreifer kontrollierten Command-and-Control-Domain (C2) weitergeleitet, während Nutzer ohne Cookie auf eine Fingerprinting-Seite geführt werden. Diese Infrastruktur nutzt eine obfuskierte JavaScript-Seite, um Daten zu sammeln, darunter:

  • Zeitzone und lokales Format (Locale)
  • Browser-Informationen und User Agent
  • Betriebssystem-Plattform
  • Indikatoren für automatisierte Analysen (z. B. navigator.webdriver)

Dieser Mechanismus dient als Filterschicht, um echte Opfer von Bots und Sicherheitsforschern zu unterscheiden.

Technische Verschleierung und Reconnaissance-Snippets

Die Kampagne setzt ein leichtgewichtiges, stark verschleiertes JavaScript-Reconnaissance-Skript ein. Es schleust nicht sofort Malware ein, sondern erstellt zunächst ein Profil der Umgebung, um einen erfolgreichen Folgeangriff sicherzustellen. Zu den Verschleierungstaktiken gehören CSS-Hue-Rotate-Filter und versteckte Iframes, um Umgebungs-Spoofing zu erkennen. Ein deobfuskierter Ausschnitt des Profiling-Codes zeigt, wie das Skript den Systemstatus erfasst:

let d = -new Date().getTimezoneOffset();  // UTC-Offset
let su = navigator.userAgent;             // User-Agent
// ... (vollständige Fingerprinting-Daten werden lautlos per POST gesendet)

Die gesammelten Daten werden kodiert und automatisch über eine unsichtbare Form-POST-Anfrage an den C2-Server übermittelt. Ein ausgeprägtes Bewusstsein für digitale Sicherheit ist für Entwickler unerlässlich, da sich dieser Angriff als eine sich entwickelnde Bedrohung darstellt, die Social Engineering mit dem Missbrauch etablierter Plattformen kombiniert.

Prävention und Sicherheit für Entwickler

Um sich gegen diese Kampagnen zu schützen, müssen Entwickler bei unaufgeforderten Sicherheitswarnungen auf Kollaborationsplattformen extrem vorsichtig sein. Seriöse Patches für Software oder IDEs werden niemals über File-Sharing-Links von Drittanbietern verbreitet. Sicherheitsexperten empfehlen:

  • Verifizierung aller Sicherheitsbehauptungen über offizielle Microsoft-Kanäle.
  • Genaue Prüfung von Benachrichtigungen, die von neu erstellten oder wenig aktiven Konten stammen.
  • Meldung verdächtiger Discussions direkt an den GitHub-Support.
  • Einsatz robuster Online-Datenschutz-Tools und Multi-Faktor-Authentifizierung (MFA) zum Schutz der Entwicklungsumgebungen.

Experte für VPN-Analysen mit über 8 Jahren Erfahrung in den Bereichen Online-Privatsphäre und Cybersicherheit. Spezialisiert auf VPN-Technologie, digitale Sicherheit und Datenschutz. Mit Leidenschaft dabei, Nutzern zu helfen, sich in der komplexen Welt der Online-Sicherheit zurechtzufinden und VPN-Lösungen weltweit zugänglich zu machen.

Um sicherzustellen, dass Ihre Entwicklungsumgebung geschützt bleibt und Ihre Daten privat bleiben, entdecken Sie die neuesten Schutztechnologien auf squirrelvpn.com.

T
Tom Jefferson

CEO & Co-Founder

 

Expert VPN analyst

Verwandte Nachrichten

State-Sponsored Cyber Espionage Campaigns Increasingly Target Global Energy and Defense Infrastructure Using AI Tools
state-sponsored cyber espionage infrastructure 2026

State-Sponsored Cyber Espionage Campaigns Increasingly Target Global Energy and Defense Infrastructure Using AI Tools

Discover how state-sponsored actors use AI to infiltrate global energy and defense infrastructure. Learn about the latest cyber espionage risks and defense trends.

Von Marcus Chen 3. Juni 2026 4 Min. Lesezeit
common.read_full_article
Palo Alto Networks Issues Urgent Patch Following Active Exploitation of Enterprise VPN Gateway Vulnerability
CVE-2026-0257

Palo Alto Networks Issues Urgent Patch Following Active Exploitation of Enterprise VPN Gateway Vulnerability

Palo Alto Networks releases urgent patch for CVE-2026-0257. Attackers are actively exploiting GlobalProtect VPNs. Update your enterprise gateway immediately.

Von James Okoro 2. Juni 2026 4 Min. Lesezeit
common.read_full_article
Russian State-Sponsored Actors Target RDP and VPN Protocol Vulnerabilities to Compromise Enterprise Networks
VPN protocol vulnerabilities 2026

Russian State-Sponsored Actors Target RDP and VPN Protocol Vulnerabilities to Compromise Enterprise Networks

Russian state-sponsored actors are exploiting RDP services and VPN vulnerabilities to breach enterprise networks. Learn how to defend your critical infrastructure.

Von Elena Voss 1. Juni 2026 5 Min. Lesezeit
common.read_full_article
Surge in Enterprise VPN Adoption Driven by Stricter Data Privacy Compliance for Remote Teams
enterprise VPN adoption

Surge in Enterprise VPN Adoption Driven by Stricter Data Privacy Compliance for Remote Teams

Discover why enterprise VPN adoption is skyrocketing as companies face stricter data privacy compliance and the rising costs of remote work security breaches.

Von Sophia Andersson 31. Mai 2026 4 Min. Lesezeit
common.read_full_article