GitHub-Phishing: Falsche VS Code Sicherheitswarnungen
TL;DR
Automatisierte Verbreitung über GitHub Discussions
Die Kampagne zeichnet sich durch ihr enormes Ausmaß aus. Forscher von Socket berichten, dass innerhalb kürzester Zeit tausende fast identische Nachrichten in verschiedenen Repositories aufgetaucht sind. Die Angreifer missbrauchen dabei die Funktion GitHub Discussions, um gefälschte Sicherheitswarnungen für Visual Studio Code zu verbreiten. Da Discussions Benachrichtigungen per E-Mail an Teilnehmer und Follower versendet, erreichen die Nachrichten auch Entwickler außerhalb der Plattform, was die Glaubwürdigkeit und Reichweite des Angriffs massiv erhöht. Diese Methode ermöglicht es den Bedrohungsakteuren, herkömmliche Spam-Filter zu umgehen, indem sie täuschend echte Köder über eine vertrauenswürdige Plattform direkt in die Posteingänge der Entwickler schleusen.
Bild mit freundlicher Genehmigung von Cybersecurity News
Vorgetäuschte Sicherheitshinweise und Social Engineering
Die gefälschten Beiträge tarnen sich als offizielle Sicherheitshinweise (Security Advisories) und nutzen alarmierende Titel wie „Visual Studio Code – Severe Vulnerability – Immediate Update Required“ oder „Critical Exploit – Urgent Action Needed“. Um Vertrauen zu erwecken, führen diese Nachrichten oft fiktive CVE-Identifikatoren und spezifische VS-Code-Versionen an. In vielen Fällen geben sich die Angreifer als bekannte Maintainer oder Sicherheitsforscher aus. Die Nutzer werden gedrängt, eine „gepatchte“ Version über externe Download-Links zu installieren, die häufig auf File-Sharing-Diensten wie Google Drive gehostet werden. Dies weicht zwar von der normalen Verteilung von VS-Code-Erweiterungen ab, doch durch die Nutzung bekannter Drittanbieter-Dienste fällt die Bedrohung gestressten Entwicklern oft nicht sofort ins Auge.
.webp)
Mehrstufige Weiterleitung und Browser-Profiling
Die Analyse der Angriffsinfrastruktur offenbart ein hochentwickeltes Traffic Distribution System (TDS). Klickt ein Nutzer auf den Link, wird er zunächst über einen Google-Share-Endpunkt geleitet. Dort teilt sich der Pfad: Nutzer mit einem gültigen Google-Cookie werden zu einer vom Angreifer kontrollierten Command-and-Control-Domain (C2) weitergeleitet, während Nutzer ohne Cookie auf eine Fingerprinting-Seite geführt werden. Diese Infrastruktur nutzt eine obfuskierte JavaScript-Seite, um Daten zu sammeln, darunter:
- Zeitzone und lokales Format (Locale)
- Browser-Informationen und User Agent
- Betriebssystem-Plattform
- Indikatoren für automatisierte Analysen (z. B.
navigator.webdriver)
Dieser Mechanismus dient als Filterschicht, um echte Opfer von Bots und Sicherheitsforschern zu unterscheiden.
Technische Verschleierung und Reconnaissance-Snippets
Die Kampagne setzt ein leichtgewichtiges, stark verschleiertes JavaScript-Reconnaissance-Skript ein. Es schleust nicht sofort Malware ein, sondern erstellt zunächst ein Profil der Umgebung, um einen erfolgreichen Folgeangriff sicherzustellen. Zu den Verschleierungstaktiken gehören CSS-Hue-Rotate-Filter und versteckte Iframes, um Umgebungs-Spoofing zu erkennen. Ein deobfuskierter Ausschnitt des Profiling-Codes zeigt, wie das Skript den Systemstatus erfasst:
let d = -new Date().getTimezoneOffset(); // UTC-Offset
let su = navigator.userAgent; // User-Agent
// ... (vollständige Fingerprinting-Daten werden lautlos per POST gesendet)
Die gesammelten Daten werden kodiert und automatisch über eine unsichtbare Form-POST-Anfrage an den C2-Server übermittelt. Ein ausgeprägtes Bewusstsein für digitale Sicherheit ist für Entwickler unerlässlich, da sich dieser Angriff als eine sich entwickelnde Bedrohung darstellt, die Social Engineering mit dem Missbrauch etablierter Plattformen kombiniert.
Prävention und Sicherheit für Entwickler
Um sich gegen diese Kampagnen zu schützen, müssen Entwickler bei unaufgeforderten Sicherheitswarnungen auf Kollaborationsplattformen extrem vorsichtig sein. Seriöse Patches für Software oder IDEs werden niemals über File-Sharing-Links von Drittanbietern verbreitet. Sicherheitsexperten empfehlen:
- Verifizierung aller Sicherheitsbehauptungen über offizielle Microsoft-Kanäle.
- Genaue Prüfung von Benachrichtigungen, die von neu erstellten oder wenig aktiven Konten stammen.
- Meldung verdächtiger Discussions direkt an den GitHub-Support.
- Einsatz robuster Online-Datenschutz-Tools und Multi-Faktor-Authentifizierung (MFA) zum Schutz der Entwicklungsumgebungen.
Experte für VPN-Analysen mit über 8 Jahren Erfahrung in den Bereichen Online-Privatsphäre und Cybersicherheit. Spezialisiert auf VPN-Technologie, digitale Sicherheit und Datenschutz. Mit Leidenschaft dabei, Nutzern zu helfen, sich in der komplexen Welt der Online-Sicherheit zurechtzufinden und VPN-Lösungen weltweit zugänglich zu machen.
Um sicherzustellen, dass Ihre Entwicklungsumgebung geschützt bleibt und Ihre Daten privat bleiben, entdecken Sie die neuesten Schutztechnologien auf squirrelvpn.com.
