Phishing no GitHub usa alertas falsos do VS Code

GitHub Malware VS Code Security Alert GitHub Discussions Exploit Developer Security Phishing Campaign Cybersecurity
T
Tom Jefferson

CEO & Co-Founder

 
31 de março de 2026
3 min de leitura
Phishing no GitHub usa alertas falsos do VS Code

TL;DR

Uma campanha massiva de phishing está utilizando o recurso 'Discussions' do GitHub para disseminar alertas de segurança falsos sobre o Visual Studio Code. Ao usar uma plataforma confiável, os atacantes conseguem enviar notificações diretamente para o e-mail dos desenvolvedores, ignorando filtros de spam tradicionais e aumentando a credibilidade do golpe.

Distribuição Automatizada via GitHub Discussions

A campanha se destaca por sua grande escala. Pesquisadores da Socket relatam que milhares de mensagens quase idênticas surgem em diversos repositórios em um curto intervalo de tempo. Os invasores estão explorando o recurso GitHub Discussions para disseminar alertas de segurança falsos sobre o Visual Studio Code. Como o Discussions envia notificações por e-mail para participantes e seguidores, as mensagens alcançam desenvolvedores inclusive fora da plataforma, aumentando a credibilidade e o alcance do ataque. Esse método permite que os cibercriminosos contornem filtros de spam tradicionais, entregando iscas altamente convincentes diretamente na caixa de entrada dos desenvolvedores por meio de uma plataforma confiável.

Imagem cortesia de Cybersecurity News

Avisos de Segurança Forjados e Engenharia Social

As postagens falsas se passam por avisos de segurança oficiais, utilizando títulos alarmistas como "Visual Studio Code – Severe Vulnerability – Immediate Update Required" ou "Critical Exploit – Urgent Action Needed". Frequentemente, essas mensagens citam identificadores CVE fictícios e versões específicas do VS Code para gerar confiança. Em muitos casos, os atacantes se passam por mantenedores conhecidos ou pesquisadores de segurança. Os usuários são instados a instalar uma versão "corrigida" por meio de links de download externos, geralmente hospedados em serviços de compartilhamento de arquivos como o Google Drive. Embora isso fuja do fluxo normal de distribuição de extensões do VS Code, o uso de serviços de terceiros confiáveis torna a ameaça menos perceptível para desenvolvedores ocupados.

Alerta falso no GitHub Discussions (Fonte - Socket.dev)

Imagem cortesia de Socket.dev

Redirecionamento em Múltiplas Etapas e Profiling de Navegador

A análise da infraestrutura do ataque revela um sofisticado Sistema de Distribuição de Tráfego (TDS). Quando um usuário clica no link, ele é roteado através de um endpoint de compartilhamento do Google. A partir daí, o caminho se divide: usuários com um cookie válido do Google são redirecionados para um domínio de comando e controle (C2) controlado pelo invasor, enquanto aqueles sem o cookie são direcionados para uma página de fingerprinting (coleta de impressão digital digital). Essa infraestrutura utiliza uma página JavaScript ofuscada para coletar dados como:

  • Fuso horário e localidade
  • Informações do navegador e User Agent
  • Plataforma do sistema operacional
  • Indicadores de análise automatizada (ex: navigator.webdriver)

Esse mecanismo funciona como uma camada de filtragem para distinguir vítimas reais de bots e pesquisadores de segurança.

Evasão Técnica e Snippets de Reconhecimento

A campanha utiliza um script de reconhecimento em JavaScript leve e altamente ofuscado. Ele não instala o malware imediatamente; em vez disso, traça o perfil do ambiente para garantir o sucesso de uma exploração posterior. Truques de evasão incluem filtros CSS de rotação de matiz (hue-rotate) e iframes ocultos para detectar simulações de ambiente. Um snippet deofuscado do código de profiling revela como o script captura o estado do sistema:

let d = -new Date().getTimezoneOffset();  // Desvio UTC
let su = navigator.userAgent;             // User agent
// ... (dados completos de fingerprint enviados silenciosamente via POST)

Os dados coletados são codificados e enviados automaticamente através de uma requisição POST de formulário invisível para o servidor C2. Esse nível de consciência em segurança digital é essencial para desenvolvedores, já que o ataque se mostra uma ameaça em evolução que combina engenharia social com o abuso de plataformas legítimas.

Mitigação e Segurança para Desenvolvedores

Para se defender dessas campanhas, os desenvolvedores devem exercer cautela extrema com alertas de segurança não solicitados em plataformas colaborativas. Patches legítimos para softwares relacionados a sockets ou IDEs nunca serão distribuídos via links de compartilhamento de arquivos de terceiros. Especialistas em segurança recomendam:

  • Verificar todas as informações de segurança através dos canais oficiais da Microsoft.
  • Analisar com rigor notificações originadas de contas recém-criadas ou com baixa atividade.
  • Denunciar Discussions suspeitas diretamente ao suporte do GitHub.
  • Utilizar ferramentas robustas de privacidade online e autenticação de dois fatores para proteger ambientes de desenvolvimento.

Analista especialista em VPN com mais de 8 anos de experiência em privacidade online e cibersegurança. Especializado em tecnologia VPN, segurança digital e proteção de dados. Entusiasta em ajudar usuários a navegar no complexo mundo da segurança online e em tornar a configuração de VPNs acessível para todos, em qualquer lugar do mundo.

Para garantir que seu ambiente de desenvolvimento permaneça seguro e seus dados privados, explore o que há de mais moderno em tecnologia de proteção em squirrelvpn.com.

T
Tom Jefferson

CEO & Co-Founder

 

Expert VPN analyst

Notícias relacionadas

WireGuard VPN Developer Unable to Release Updates After Microsoft Lock
WireGuard

WireGuard VPN Developer Unable to Release Updates After Microsoft Lock

Microsoft's account lockout has halted critical security updates for WireGuard and VeraCrypt. Read how this verification glitch threatens VPN and encryption security.

Por Daniel Richter 17 de abril de 2026 2 min de leitura
common.read_full_article
XRP Ledger Integrates Zero-Knowledge Proofs for Institutional Privacy
XRP Ledger

XRP Ledger Integrates Zero-Knowledge Proofs for Institutional Privacy

XRP Ledger partners with Boundless to launch zero-knowledge proof verification. Secure institutional privacy while maintaining regulatory compliance today.

Por Elena Voss 16 de abril de 2026 3 min de leitura
common.read_full_article
AI Security Landscape and Market Growth Analysis 2026-2030
AI cybersecurity market growth

AI Security Landscape and Market Growth Analysis 2026-2030

The AI cybersecurity market is set to hit $93.75B by 2030. Discover the latest M&A activity, deepfake risks, and the new AI security taxonomy. Read the full report.

Por James Okoro 14 de abril de 2026 3 min de leitura
common.read_full_article
Access Your Home Server Anywhere Without Port Forwarding
Home Server Security

Access Your Home Server Anywhere Without Port Forwarding

Stop exposing your network to hackers. Learn how to use overlay VPNs and encrypted tunnels for secure remote home server access without port forwarding.

Por Natalie Ferreira 13 de abril de 2026 4 min de leitura
common.read_full_article