Phishing no GitHub usa alertas falsos do VS Code

GitHub Malware VS Code Security Alert GitHub Discussions Exploit Developer Security Phishing Campaign Cybersecurity
T
Tom Jefferson

CEO & Co-Founder

 
31 de março de 2026
3 min de leitura
Phishing no GitHub usa alertas falsos do VS Code

TL;DR

Uma campanha massiva de phishing está utilizando o recurso 'Discussions' do GitHub para disseminar alertas de segurança falsos sobre o Visual Studio Code. Ao usar uma plataforma confiável, os atacantes conseguem enviar notificações diretamente para o e-mail dos desenvolvedores, ignorando filtros de spam tradicionais e aumentando a credibilidade do golpe.

Distribuição Automatizada via GitHub Discussions

A campanha se destaca por sua grande escala. Pesquisadores da Socket relatam que milhares de mensagens quase idênticas surgem em diversos repositórios em um curto intervalo de tempo. Os invasores estão explorando o recurso GitHub Discussions para disseminar alertas de segurança falsos sobre o Visual Studio Code. Como o Discussions envia notificações por e-mail para participantes e seguidores, as mensagens alcançam desenvolvedores inclusive fora da plataforma, aumentando a credibilidade e o alcance do ataque. Esse método permite que os cibercriminosos contornem filtros de spam tradicionais, entregando iscas altamente convincentes diretamente na caixa de entrada dos desenvolvedores por meio de uma plataforma confiável.

Imagem cortesia de Cybersecurity News

Avisos de Segurança Forjados e Engenharia Social

As postagens falsas se passam por avisos de segurança oficiais, utilizando títulos alarmistas como "Visual Studio Code – Severe Vulnerability – Immediate Update Required" ou "Critical Exploit – Urgent Action Needed". Frequentemente, essas mensagens citam identificadores CVE fictícios e versões específicas do VS Code para gerar confiança. Em muitos casos, os atacantes se passam por mantenedores conhecidos ou pesquisadores de segurança. Os usuários são instados a instalar uma versão "corrigida" por meio de links de download externos, geralmente hospedados em serviços de compartilhamento de arquivos como o Google Drive. Embora isso fuja do fluxo normal de distribuição de extensões do VS Code, o uso de serviços de terceiros confiáveis torna a ameaça menos perceptível para desenvolvedores ocupados.

Alerta falso no GitHub Discussions (Fonte - Socket.dev)

Imagem cortesia de Socket.dev

Redirecionamento em Múltiplas Etapas e Profiling de Navegador

A análise da infraestrutura do ataque revela um sofisticado Sistema de Distribuição de Tráfego (TDS). Quando um usuário clica no link, ele é roteado através de um endpoint de compartilhamento do Google. A partir daí, o caminho se divide: usuários com um cookie válido do Google são redirecionados para um domínio de comando e controle (C2) controlado pelo invasor, enquanto aqueles sem o cookie são direcionados para uma página de fingerprinting (coleta de impressão digital digital). Essa infraestrutura utiliza uma página JavaScript ofuscada para coletar dados como:

  • Fuso horário e localidade
  • Informações do navegador e User Agent
  • Plataforma do sistema operacional
  • Indicadores de análise automatizada (ex: navigator.webdriver)

Esse mecanismo funciona como uma camada de filtragem para distinguir vítimas reais de bots e pesquisadores de segurança.

Evasão Técnica e Snippets de Reconhecimento

A campanha utiliza um script de reconhecimento em JavaScript leve e altamente ofuscado. Ele não instala o malware imediatamente; em vez disso, traça o perfil do ambiente para garantir o sucesso de uma exploração posterior. Truques de evasão incluem filtros CSS de rotação de matiz (hue-rotate) e iframes ocultos para detectar simulações de ambiente. Um snippet deofuscado do código de profiling revela como o script captura o estado do sistema:

let d = -new Date().getTimezoneOffset();  // Desvio UTC
let su = navigator.userAgent;             // User agent
// ... (dados completos de fingerprint enviados silenciosamente via POST)

Os dados coletados são codificados e enviados automaticamente através de uma requisição POST de formulário invisível para o servidor C2. Esse nível de consciência em segurança digital é essencial para desenvolvedores, já que o ataque se mostra uma ameaça em evolução que combina engenharia social com o abuso de plataformas legítimas.

Mitigação e Segurança para Desenvolvedores

Para se defender dessas campanhas, os desenvolvedores devem exercer cautela extrema com alertas de segurança não solicitados em plataformas colaborativas. Patches legítimos para softwares relacionados a sockets ou IDEs nunca serão distribuídos via links de compartilhamento de arquivos de terceiros. Especialistas em segurança recomendam:

  • Verificar todas as informações de segurança através dos canais oficiais da Microsoft.
  • Analisar com rigor notificações originadas de contas recém-criadas ou com baixa atividade.
  • Denunciar Discussions suspeitas diretamente ao suporte do GitHub.
  • Utilizar ferramentas robustas de privacidade online e autenticação de dois fatores para proteger ambientes de desenvolvimento.

Analista especialista em VPN com mais de 8 anos de experiência em privacidade online e cibersegurança. Especializado em tecnologia VPN, segurança digital e proteção de dados. Entusiasta em ajudar usuários a navegar no complexo mundo da segurança online e em tornar a configuração de VPNs acessível para todos, em qualquer lugar do mundo.

Para garantir que seu ambiente de desenvolvimento permaneça seguro e seus dados privados, explore o que há de mais moderno em tecnologia de proteção em squirrelvpn.com.

T
Tom Jefferson

CEO & Co-Founder

 

Expert VPN analyst

Notícias relacionadas

State-Sponsored Cyber Espionage Campaigns Increasingly Target Global Energy and Defense Infrastructure Using AI Tools
state-sponsored cyber espionage infrastructure 2026

State-Sponsored Cyber Espionage Campaigns Increasingly Target Global Energy and Defense Infrastructure Using AI Tools

Discover how state-sponsored actors use AI to infiltrate global energy and defense infrastructure. Learn about the latest cyber espionage risks and defense trends.

Por Marcus Chen 3 de junho de 2026 4 min de leitura
common.read_full_article
Palo Alto Networks Issues Urgent Patch Following Active Exploitation of Enterprise VPN Gateway Vulnerability
CVE-2026-0257

Palo Alto Networks Issues Urgent Patch Following Active Exploitation of Enterprise VPN Gateway Vulnerability

Palo Alto Networks releases urgent patch for CVE-2026-0257. Attackers are actively exploiting GlobalProtect VPNs. Update your enterprise gateway immediately.

Por James Okoro 2 de junho de 2026 4 min de leitura
common.read_full_article
Russian State-Sponsored Actors Target RDP and VPN Protocol Vulnerabilities to Compromise Enterprise Networks
VPN protocol vulnerabilities 2026

Russian State-Sponsored Actors Target RDP and VPN Protocol Vulnerabilities to Compromise Enterprise Networks

Russian state-sponsored actors are exploiting RDP services and VPN vulnerabilities to breach enterprise networks. Learn how to defend your critical infrastructure.

Por Elena Voss 1 de junho de 2026 5 min de leitura
common.read_full_article
Surge in Enterprise VPN Adoption Driven by Stricter Data Privacy Compliance for Remote Teams
enterprise VPN adoption

Surge in Enterprise VPN Adoption Driven by Stricter Data Privacy Compliance for Remote Teams

Discover why enterprise VPN adoption is skyrocketing as companies face stricter data privacy compliance and the rising costs of remote work security breaches.

Por Sophia Andersson 31 de maio de 2026 4 min de leitura
common.read_full_article