Phishing en GitHub: Alertas falsas de VS Code engañan a devs

GitHub Malware VS Code Security Alert GitHub Discussions Exploit Developer Security Phishing Campaign Cybersecurity
T
Tom Jefferson

CEO & Co-Founder

 
31 de marzo de 2026
3 min de lectura
Phishing en GitHub: Alertas falsas de VS Code engañan a devs

TL;DR

Atacantes están utilizando la función GitHub Discussions para enviar alertas de seguridad falsas sobre Visual Studio Code. Al aprovechar las notificaciones automáticas por correo de GitHub, logran evadir filtros de spam y llegar directamente a las bandejas de entrada de miles de desarrolladores, otorgando una falsa sensación de legitimidad al ataque.

Distribución automatizada a través de GitHub Discussions

Esta campaña se destaca por su gran escala; investigadores de Socket informan que miles de mensajes casi idénticos aparecen en diversos repositorios en periodos de tiempo muy cortos. Los atacantes están explotando la función GitHub Discussions para difundir alertas de seguridad falsas sobre Visual Studio Code. Debido a que Discussions envía notificaciones por correo electrónico a los participantes y seguidores, los mensajes también llegan a desarrolladores fuera de la plataforma, lo que aumenta la credibilidad y el alcance del ataque. Este método permite a los actores de amenazas evadir los filtros de spam tradicionales, entregando señuelos sumamente convincentes directamente en las bandejas de entrada de los desarrolladores a través de una plataforma de confianza.

Imagen cortesía de Cybersecurity News

Avisos de seguridad falsos e ingeniería social

Las publicaciones fraudulentas se hacen pasar por avisos oficiales de seguridad, utilizando títulos alarmistas como "Visual Studio Code – Vulnerabilidad grave – Actualización inmediata requerida" o "Exploit crítico – Se requiere acción urgente". Con frecuencia, estos mensajes citan identificadores CVE ficticios y versiones específicas de VS Code para generar confianza. En muchos casos, los atacantes suplantan la identidad de mantenedores reconocidos o investigadores de seguridad. Se insta a los usuarios a instalar una versión "parcheada" a través de enlaces de descarga externos, a menudo alojados en servicios de almacenamiento de archivos como Google Drive. Aunque esto difiere de la distribución normal de extensiones de VS Code, el uso de servicios de terceros confiables hace que la amenaza sea menos evidente para los desarrolladores con agendas ocupadas.

Alerta falsa en GitHub Discussion (Fuente - Socket.dev)

Imagen cortesía de Socket.dev

Redireccionamiento en múltiples pasos y perfilado del navegador

El análisis de la infraestructura del ataque revela un sofisticado Sistema de Distribución de Tráfico (TDS por sus siglas en inglés). Cuando un usuario hace clic en el enlace, es dirigido a través de un punto de acceso compartido de Google. A partir de ahí, la ruta se divide: los usuarios con una cookie de Google válida son redirigidos a un dominio de comando y control (C2) bajo el mando del atacante, mientras que a quienes no la tienen se les muestra una página de rastreo de huella digital (fingerprinting). Esta infraestructura utiliza una página con JavaScript ofuscado para recopilar datos como:

  • Zona horaria y configuración regional
  • Información del navegador y User Agent
  • Plataforma del sistema operativo
  • Indicadores de análisis automatizado (por ejemplo, navigator.webdriver)

Este mecanismo funciona como una capa de filtrado para distinguir a las víctimas reales de los bots y de los investigadores de seguridad.

Evasión técnica y fragmentos de reconocimiento

La campaña utiliza un script de reconocimiento en JavaScript ligero y altamente ofuscado. No descarga malware de forma inmediata, sino que perfila el entorno para asegurar el éxito de un exploit posterior. Los trucos de evasión incluyen filtros CSS de rotación de matiz (hue-rotate) e iframes ocultos para detectar la suplantación del entorno. Un fragmento desofuscado del código de perfilado revela cómo el script captura el estado del sistema:

let d = -new Date().getTimezoneOffset();  // Desplazamiento UTC
let su = navigator.userAgent;             // Agente de usuario
// ... (datos completos de huella digital enviados silenciosamente vía POST)

Los datos recopilados se codifican y se envían automáticamente mediante una solicitud POST de formulario invisible al servidor C2. Este nivel de conciencia sobre la seguridad digital es esencial para los desarrolladores, ya que el ataque parece ser una amenaza en evolución que combina la ingeniería social con el abuso de plataformas legítimas.

Mitigación y seguridad para el desarrollador

Para defenderse de estas campañas, los desarrolladores deben actuar con extrema cautela ante alertas de seguridad no solicitadas en plataformas colaborativas. Los parches legítimos para software relacionado con sockets o entornos de desarrollo integrado (IDE) nunca se distribuirán a través de enlaces de servicios de terceros para compartir archivos. Los expertos en seguridad recomiendan:

  • Verificar todas las alertas de seguridad a través de los canales oficiales de Microsoft.
  • Examinar minuciosamente las notificaciones que provengan de cuentas recién creadas o con poca actividad.
  • Reportar cualquier discusión sospechosa directamente al soporte de GitHub.
  • Utilizar herramientas robustas de privacidad en línea y autenticación de múltiples factores para proteger los entornos de desarrollo.

Analista experto en VPN con más de 8 años de experiencia en privacidad en línea y ciberseguridad. Especialista en tecnología VPN, seguridad digital y protección de la privacidad. Apasionado por ayudar a los usuarios a navegar el complejo mundo de la seguridad en internet y por hacer que la configuración de VPN sea accesible para todos en cualquier parte del mundo.

Para asegurar que su entorno de desarrollo se mantenga protegido y sus datos privados, explore lo último en tecnología de protección en squirrelvpn.com.

T
Tom Jefferson

CEO & Co-Founder

 

Expert VPN analyst

Noticias relacionadas

State-Sponsored Cyber Espionage Campaigns Increasingly Target Global Energy and Defense Infrastructure Using AI Tools
state-sponsored cyber espionage infrastructure 2026

State-Sponsored Cyber Espionage Campaigns Increasingly Target Global Energy and Defense Infrastructure Using AI Tools

Discover how state-sponsored actors use AI to infiltrate global energy and defense infrastructure. Learn about the latest cyber espionage risks and defense trends.

Por Marcus Chen 3 de junio de 2026 4 min de lectura
common.read_full_article
Palo Alto Networks Issues Urgent Patch Following Active Exploitation of Enterprise VPN Gateway Vulnerability
CVE-2026-0257

Palo Alto Networks Issues Urgent Patch Following Active Exploitation of Enterprise VPN Gateway Vulnerability

Palo Alto Networks releases urgent patch for CVE-2026-0257. Attackers are actively exploiting GlobalProtect VPNs. Update your enterprise gateway immediately.

Por James Okoro 2 de junio de 2026 4 min de lectura
common.read_full_article
Russian State-Sponsored Actors Target RDP and VPN Protocol Vulnerabilities to Compromise Enterprise Networks
VPN protocol vulnerabilities 2026

Russian State-Sponsored Actors Target RDP and VPN Protocol Vulnerabilities to Compromise Enterprise Networks

Russian state-sponsored actors are exploiting RDP services and VPN vulnerabilities to breach enterprise networks. Learn how to defend your critical infrastructure.

Por Elena Voss 1 de junio de 2026 5 min de lectura
common.read_full_article
Surge in Enterprise VPN Adoption Driven by Stricter Data Privacy Compliance for Remote Teams
enterprise VPN adoption

Surge in Enterprise VPN Adoption Driven by Stricter Data Privacy Compliance for Remote Teams

Discover why enterprise VPN adoption is skyrocketing as companies face stricter data privacy compliance and the rising costs of remote work security breaches.

Por Sophia Andersson 31 de mayo de 2026 4 min de lectura
common.read_full_article