Phishing en GitHub: Alertas falsas de VS Code engañan a devs

GitHub Malware VS Code Security Alert GitHub Discussions Exploit Developer Security Phishing Campaign Cybersecurity
T
Tom Jefferson

CEO & Co-Founder

 
31 de marzo de 2026
3 min de lectura
Phishing en GitHub: Alertas falsas de VS Code engañan a devs

TL;DR

Atacantes están utilizando la función GitHub Discussions para enviar alertas de seguridad falsas sobre Visual Studio Code. Al aprovechar las notificaciones automáticas por correo de GitHub, logran evadir filtros de spam y llegar directamente a las bandejas de entrada de miles de desarrolladores, otorgando una falsa sensación de legitimidad al ataque.

Distribución automatizada a través de GitHub Discussions

Esta campaña se destaca por su gran escala; investigadores de Socket informan que miles de mensajes casi idénticos aparecen en diversos repositorios en periodos de tiempo muy cortos. Los atacantes están explotando la función GitHub Discussions para difundir alertas de seguridad falsas sobre Visual Studio Code. Debido a que Discussions envía notificaciones por correo electrónico a los participantes y seguidores, los mensajes también llegan a desarrolladores fuera de la plataforma, lo que aumenta la credibilidad y el alcance del ataque. Este método permite a los actores de amenazas evadir los filtros de spam tradicionales, entregando señuelos sumamente convincentes directamente en las bandejas de entrada de los desarrolladores a través de una plataforma de confianza.

Imagen cortesía de Cybersecurity News

Avisos de seguridad falsos e ingeniería social

Las publicaciones fraudulentas se hacen pasar por avisos oficiales de seguridad, utilizando títulos alarmistas como "Visual Studio Code – Vulnerabilidad grave – Actualización inmediata requerida" o "Exploit crítico – Se requiere acción urgente". Con frecuencia, estos mensajes citan identificadores CVE ficticios y versiones específicas de VS Code para generar confianza. En muchos casos, los atacantes suplantan la identidad de mantenedores reconocidos o investigadores de seguridad. Se insta a los usuarios a instalar una versión "parcheada" a través de enlaces de descarga externos, a menudo alojados en servicios de almacenamiento de archivos como Google Drive. Aunque esto difiere de la distribución normal de extensiones de VS Code, el uso de servicios de terceros confiables hace que la amenaza sea menos evidente para los desarrolladores con agendas ocupadas.

Alerta falsa en GitHub Discussion (Fuente - Socket.dev)

Imagen cortesía de Socket.dev

Redireccionamiento en múltiples pasos y perfilado del navegador

El análisis de la infraestructura del ataque revela un sofisticado Sistema de Distribución de Tráfico (TDS por sus siglas en inglés). Cuando un usuario hace clic en el enlace, es dirigido a través de un punto de acceso compartido de Google. A partir de ahí, la ruta se divide: los usuarios con una cookie de Google válida son redirigidos a un dominio de comando y control (C2) bajo el mando del atacante, mientras que a quienes no la tienen se les muestra una página de rastreo de huella digital (fingerprinting). Esta infraestructura utiliza una página con JavaScript ofuscado para recopilar datos como:

  • Zona horaria y configuración regional
  • Información del navegador y User Agent
  • Plataforma del sistema operativo
  • Indicadores de análisis automatizado (por ejemplo, navigator.webdriver)

Este mecanismo funciona como una capa de filtrado para distinguir a las víctimas reales de los bots y de los investigadores de seguridad.

Evasión técnica y fragmentos de reconocimiento

La campaña utiliza un script de reconocimiento en JavaScript ligero y altamente ofuscado. No descarga malware de forma inmediata, sino que perfila el entorno para asegurar el éxito de un exploit posterior. Los trucos de evasión incluyen filtros CSS de rotación de matiz (hue-rotate) e iframes ocultos para detectar la suplantación del entorno. Un fragmento desofuscado del código de perfilado revela cómo el script captura el estado del sistema:

let d = -new Date().getTimezoneOffset();  // Desplazamiento UTC
let su = navigator.userAgent;             // Agente de usuario
// ... (datos completos de huella digital enviados silenciosamente vía POST)

Los datos recopilados se codifican y se envían automáticamente mediante una solicitud POST de formulario invisible al servidor C2. Este nivel de conciencia sobre la seguridad digital es esencial para los desarrolladores, ya que el ataque parece ser una amenaza en evolución que combina la ingeniería social con el abuso de plataformas legítimas.

Mitigación y seguridad para el desarrollador

Para defenderse de estas campañas, los desarrolladores deben actuar con extrema cautela ante alertas de seguridad no solicitadas en plataformas colaborativas. Los parches legítimos para software relacionado con sockets o entornos de desarrollo integrado (IDE) nunca se distribuirán a través de enlaces de servicios de terceros para compartir archivos. Los expertos en seguridad recomiendan:

  • Verificar todas las alertas de seguridad a través de los canales oficiales de Microsoft.
  • Examinar minuciosamente las notificaciones que provengan de cuentas recién creadas o con poca actividad.
  • Reportar cualquier discusión sospechosa directamente al soporte de GitHub.
  • Utilizar herramientas robustas de privacidad en línea y autenticación de múltiples factores para proteger los entornos de desarrollo.

Analista experto en VPN con más de 8 años de experiencia en privacidad en línea y ciberseguridad. Especialista en tecnología VPN, seguridad digital y protección de la privacidad. Apasionado por ayudar a los usuarios a navegar el complejo mundo de la seguridad en internet y por hacer que la configuración de VPN sea accesible para todos en cualquier parte del mundo.

Para asegurar que su entorno de desarrollo se mantenga protegido y sus datos privados, explore lo último en tecnología de protección en squirrelvpn.com.

T
Tom Jefferson

CEO & Co-Founder

 

Expert VPN analyst

Noticias relacionadas

WireGuard VPN Developer Unable to Release Updates After Microsoft Lock
WireGuard

WireGuard VPN Developer Unable to Release Updates After Microsoft Lock

Microsoft's account lockout has halted critical security updates for WireGuard and VeraCrypt. Read how this verification glitch threatens VPN and encryption security.

Por Daniel Richter 17 de abril de 2026 2 min de lectura
common.read_full_article
XRP Ledger Integrates Zero-Knowledge Proofs for Institutional Privacy
XRP Ledger

XRP Ledger Integrates Zero-Knowledge Proofs for Institutional Privacy

XRP Ledger partners with Boundless to launch zero-knowledge proof verification. Secure institutional privacy while maintaining regulatory compliance today.

Por Elena Voss 16 de abril de 2026 3 min de lectura
common.read_full_article
AI Security Landscape and Market Growth Analysis 2026-2030
AI cybersecurity market growth

AI Security Landscape and Market Growth Analysis 2026-2030

The AI cybersecurity market is set to hit $93.75B by 2030. Discover the latest M&A activity, deepfake risks, and the new AI security taxonomy. Read the full report.

Por James Okoro 14 de abril de 2026 3 min de lectura
common.read_full_article
Access Your Home Server Anywhere Without Port Forwarding
Home Server Security

Access Your Home Server Anywhere Without Port Forwarding

Stop exposing your network to hackers. Learn how to use overlay VPNs and encrypted tunnels for secure remote home server access without port forwarding.

Por Natalie Ferreira 13 de abril de 2026 4 min de lectura
common.read_full_article