Phishing en GitHub: Alertas Falsas de VS Code

GitHub Malware VS Code Security Alert GitHub Discussions Exploit Developer Security Phishing Campaign Cybersecurity
T
Tom Jefferson

CEO & Co-Founder

 
31 de marzo de 2026
3 min de lectura
Phishing en GitHub: Alertas Falsas de VS Code

TL;DR

Una campaña masiva de phishing está explotando la función de 'Discussions' en GitHub para enviar alertas de seguridad falsas sobre Visual Studio Code. Al usar una plataforma de confianza, los atacantes logran que los correos lleguen directamente a las bandejas de entrada de los desarrolladores, evadiendo los filtros de spam tradicionales.

Distribución automatizada a través de GitHub Discussions

Esta campaña destaca por su enorme escala. Investigadores de Socket han reportado la aparición de miles de mensajes prácticamente idénticos en diversos repositorios en lapsos de tiempo muy breves. Los atacantes están explotando la funcionalidad de GitHub Discussions para difundir alertas de seguridad falsas sobre Visual Studio Code. Dado que Discussions envía notificaciones por correo electrónico a los participantes y seguidores, los mensajes logran impactar a desarrolladores incluso fuera de la plataforma, aumentando la credibilidad y el alcance del ataque. Este método permite a los actores de amenazas evadir los filtros de spam tradicionales, depositando señuelos sumamente convincentes directamente en las bandejas de entrada de los desarrolladores a través de una plataforma de confianza.

Imagen cortesía de Cybersecurity News

Avisos de seguridad fabricados e ingeniería social

Las publicaciones fraudulentas se hacen pasar por avisos oficiales de seguridad, utilizando títulos alarmistas como "Visual Studio Code – Vulnerabilidad grave – Actualización inmediata obligatoria" o "Exploit crítico – Se requiere acción urgente". Con el fin de generar confianza, estos mensajes suelen citar identificadores CVE ficticios y versiones específicas de VS Code. En muchos casos, los atacantes suplantan la identidad de mantenedores de software o investigadores de seguridad reconocidos. Se insta a los usuarios a instalar una versión "parcheada" mediante enlaces de descarga externos, alojados frecuentemente en servicios de almacenamiento de archivos como Google Drive. Aunque esto difiere del proceso habitual de distribución de extensiones de VS Code, el uso de servicios de terceros de buena reputación hace que la amenaza sea menos evidente para los desarrolladores con poco tiempo.

Alerta falsa en GitHub Discussion (Fuente - Socket.dev)

Imagen cortesía de Socket.dev

Redireccionamiento en múltiples etapas y perfilado del navegador

El análisis de la infraestructura del ataque revela un sofisticado Sistema de Distribución de Tráfico (TDS). Cuando un usuario hace clic en el enlace, es dirigido a través de un punto de acceso de Google compartido. A partir de ahí, la ruta se bifurca: los usuarios que poseen una cookie de Google válida son redirigidos a un dominio de comando y control (C2) bajo el mando del atacante, mientras que a quienes no la tienen se les muestra una página de huella digital (fingerprinting). Esta infraestructura utiliza una página con JavaScript ofuscado para recopilar datos críticos como:

  • Zona horaria y configuración regional.
  • Información del navegador y User Agent.
  • Plataforma del sistema operativo.
  • Indicadores de análisis automatizado (por ejemplo, navigator.webdriver).

Este mecanismo actúa como una capa de filtrado para distinguir a las víctimas reales de los bots y de los investigadores de seguridad.

Evasión técnica y fragmentos de reconocimiento

La campaña emplea un script de reconocimiento en JavaScript ligero y altamente ofuscado. No descarga malware de forma inmediata, sino que perfila el entorno para garantizar el éxito de un exploit posterior. Entre los trucos de evasión se incluyen filtros CSS de rotación de tono (hue-rotate) e iframes ocultos para detectar la suplantación del entorno. Un fragmento desofuscado del código de perfilado revela cómo el script captura el estado del sistema:

let d = -new Date().getTimezoneOffset();  // Desplazamiento UTC
let su = navigator.userAgent;             // Agente de usuario
// ... (datos completos de la huella digital enviados silenciosamente vía POST)

Los datos recopilados se codifican y se envían automáticamente mediante una solicitud POST de formulario invisible al servidor C2. Este nivel de conciencia sobre la seguridad digital es fundamental para los desarrolladores, ya que el ataque parece ser una amenaza en evolución que combina la ingeniería social con el abuso de plataformas legítimas.

Mitigación y seguridad para desarrolladores

Para defenderse de estas campañas, los desarrolladores deben extremar las precauciones ante alertas de seguridad no solicitadas en plataformas colaborativas. Los parches legítimos para software relacionado con sockets o entornos de desarrollo (IDE) nunca se distribuirán a través de enlaces de terceros en servicios de intercambio de archivos. Los expertos en seguridad recomiendan:

  • Verificar cualquier aviso de seguridad a través de los canales oficiales de Microsoft.
  • Escrutar las notificaciones que provengan de cuentas recién creadas o con baja actividad.
  • Reportar cualquier discusión sospechosa directamente al soporte de GitHub.
  • Utilizar herramientas robustas de privacidad en línea y autenticación de múltiples factores para proteger los entornos de desarrollo.

Analista experto en VPN con más de 8 años de trayectoria en privacidad en línea y ciberseguridad. Especializado en tecnología VPN, seguridad digital y protección de la privacidad. Su pasión es ayudar a los usuarios a navegar por el complejo mundo de la seguridad en internet y hacer que la configuración de VPN sea accesible para todos en cualquier parte del mundo.

Para asegurar que su entorno de desarrollo permanezca protegido y sus datos se mantengan privados, explore lo último en tecnología de protección en squirrelvpn.com.

T
Tom Jefferson

CEO & Co-Founder

 

Expert VPN analyst

Noticias relacionadas

WireGuard VPN Developer Unable to Release Updates After Microsoft Lock
WireGuard

WireGuard VPN Developer Unable to Release Updates After Microsoft Lock

Microsoft's account lockout has halted critical security updates for WireGuard and VeraCrypt. Read how this verification glitch threatens VPN and encryption security.

Por Daniel Richter 17 de abril de 2026 2 min de lectura
common.read_full_article
XRP Ledger Integrates Zero-Knowledge Proofs for Institutional Privacy
XRP Ledger

XRP Ledger Integrates Zero-Knowledge Proofs for Institutional Privacy

XRP Ledger partners with Boundless to launch zero-knowledge proof verification. Secure institutional privacy while maintaining regulatory compliance today.

Por Elena Voss 16 de abril de 2026 3 min de lectura
common.read_full_article
AI Security Landscape and Market Growth Analysis 2026-2030
AI cybersecurity market growth

AI Security Landscape and Market Growth Analysis 2026-2030

The AI cybersecurity market is set to hit $93.75B by 2030. Discover the latest M&A activity, deepfake risks, and the new AI security taxonomy. Read the full report.

Por James Okoro 14 de abril de 2026 3 min de lectura
common.read_full_article
Access Your Home Server Anywhere Without Port Forwarding
Home Server Security

Access Your Home Server Anywhere Without Port Forwarding

Stop exposing your network to hackers. Learn how to use overlay VPNs and encrypted tunnels for secure remote home server access without port forwarding.

Por Natalie Ferreira 13 de abril de 2026 4 min de lectura
common.read_full_article