Phishing no GitHub usa alertas falsos do VS Code

GitHub Malware VS Code Security Alert GitHub Discussions Exploit Developer Security Phishing Campaign Cybersecurity
T
Tom Jefferson

CEO & Co-Founder

 
31 de março de 2026
3 min de leitura
Phishing no GitHub usa alertas falsos do VS Code

TL;DR

Uma campanha de phishing em larga escala está explorando o recurso 'Discussions' do GitHub para disseminar alertas de segurança falsos sobre o VS Code. Ao usar notificações oficiais por e-mail, os cibercriminosos aumentam a credibilidade do ataque e conseguem burlar filtros de spam tradicionais.

Distribuição Automatizada via GitHub Discussions

A campanha se destaca por sua grande escala, com pesquisadores da Socket relatando que milhares de mensagens quase idênticas surgem em diversos repositórios em um curto intervalo de tempo. Os invasores estão explorando o recurso GitHub Discussions para disseminar alertas de segurança falsos sobre o Visual Studio Code. Como o Discussions envia notificações por e-mail para participantes e seguidores, as mensagens alcançam desenvolvedores inclusive fora da plataforma, aumentando a credibilidade e o alcance do ataque. Este método permite que os cibercriminosos contornem filtros de spam tradicionais, entregando iscas altamente convincentes diretamente nas caixas de entrada dos desenvolvedores por meio de uma plataforma de confiança.

Imagem cortesia de Cybersecurity News

Avisos de Segurança Forjados e Engenharia Social

As postagens falsas se passam por comunicados oficiais de segurança, utilizando títulos alarmistas como "Visual Studio Code – Vulnerabilidade Grave – Atualização Imediata Necessária" ou "Exploit Crítico – Ação Urgente Requerida". Frequentemente, essas mensagens citam identificadores CVE fictícios e versões específicas do VS Code para gerar confiança. Em muitos casos, os atacantes personificam mantenedores conhecidos ou pesquisadores de segurança. Os usuários são instados a instalar uma versão "corrigida" por meio de links de download externos, muitas vezes hospedados em serviços de compartilhamento de arquivos como o Google Drive. Embora isso fuja do fluxo normal de distribuição de extensões do VS Code, o uso de serviços de terceiros confiáveis torna a ameaça menos perceptível para desenvolvedores ocupados.

Alerta falso no GitHub Discussions (Fonte - Socket.dev)

Imagem cortesia de Socket.dev

Redirecionamento em Várias Etapas e Profiling de Navegador

A análise da infraestrutura do ataque revela um sofisticado Sistema de Distribuição de Tráfego (TDS). Quando um usuário clica no link, ele é roteado através de um endpoint de compartilhamento do Google. A partir daí, o caminho se divide: usuários com um cookie válido do Google são redirecionados para um domínio de comando e controle (C2) sob o poder dos invasores, enquanto aqueles sem o cookie são direcionados para uma página de coleta de impressões digitais (fingerprinting). Essa infraestrutura utiliza uma página JavaScript ofuscada para coletar dados como:

  • Fuso horário e localidade (locale)
  • Informações do navegador e User Agent
  • Plataforma do sistema operacional
  • Indicadores de análise automatizada (ex: navigator.webdriver)

Este mecanismo serve como uma camada de filtragem para distinguir vítimas reais de bots e pesquisadores de segurança.

Evasão Técnica e Snippets de Reconhecimento

A campanha utiliza um script de reconhecimento em JavaScript leve e altamente ofuscado. Ele não instala o malware imediatamente; em vez disso, traça o perfil do ambiente para garantir o sucesso de um exploit subsequente. Truques de evasão incluem filtros CSS de rotação de matiz (hue-rotate) e iframes ocultos para detectar simulações de ambiente (spoofing). Um trecho desofuscado do código de profiling revela como o script captura o estado do sistema:

let d = -new Date().getTimezoneOffset();  // Desvio de UTC
let su = navigator.userAgent;             // User agent
// ... (dados completos de fingerprint enviados silenciosamente via POST)

Os dados coletados são codificados e enviados automaticamente através de uma requisição POST de formulário invisível para o servidor C2. Este nível de consciência sobre segurança digital é essencial para desenvolvedores, visto que o ataque se apresenta como uma ameaça em evolução que mescla engenharia social com o abuso de plataformas legítimas.

Mitigação e Segurança para Desenvolvedores

Para se defender contra essas campanhas, os desenvolvedores devem exercer cautela extrema com alertas de segurança não solicitados em plataformas colaborativas. Correções legítimas para softwares relacionados a sockets ou IDEs nunca serão distribuídas por meio de links de compartilhamento de arquivos de terceiros. Especialistas em segurança recomendam:

  • Verificar todas as alegações de segurança por meio dos canais oficiais da Microsoft.
  • Analisar minuciosamente notificações originadas de contas recém-criadas ou com baixa atividade.
  • Denunciar Discussions suspeitas diretamente ao suporte do GitHub.
  • Utilizar ferramentas robustas de privacidade online e autenticação de dois fatores para proteger ambientes de desenvolvimento.

Analista especialista em VPN com mais de 8 anos de experiência em privacidade online e segurança cibernética. Especializado em tecnologia VPN, segurança digital e proteção de dados. Entusiasta em ajudar usuários a navegar no complexo mundo da segurança online e em tornar a configuração de VPNs acessível para todos ao redor do mundo.

Para garantir que seu ambiente de desenvolvimento permaneça seguro e seus dados privados, explore o que há de mais moderno em tecnologia de proteção em squirrelvpn.com.

T
Tom Jefferson

CEO & Co-Founder

 

Expert VPN analyst

Notícias relacionadas

WireGuard VPN Developer Unable to Release Updates After Microsoft Lock
WireGuard

WireGuard VPN Developer Unable to Release Updates After Microsoft Lock

Microsoft's account lockout has halted critical security updates for WireGuard and VeraCrypt. Read how this verification glitch threatens VPN and encryption security.

Por Daniel Richter 17 de abril de 2026 2 min de leitura
common.read_full_article
XRP Ledger Integrates Zero-Knowledge Proofs for Institutional Privacy
XRP Ledger

XRP Ledger Integrates Zero-Knowledge Proofs for Institutional Privacy

XRP Ledger partners with Boundless to launch zero-knowledge proof verification. Secure institutional privacy while maintaining regulatory compliance today.

Por Elena Voss 16 de abril de 2026 3 min de leitura
common.read_full_article
AI Security Landscape and Market Growth Analysis 2026-2030
AI cybersecurity market growth

AI Security Landscape and Market Growth Analysis 2026-2030

The AI cybersecurity market is set to hit $93.75B by 2030. Discover the latest M&A activity, deepfake risks, and the new AI security taxonomy. Read the full report.

Por James Okoro 14 de abril de 2026 3 min de leitura
common.read_full_article
Access Your Home Server Anywhere Without Port Forwarding
Home Server Security

Access Your Home Server Anywhere Without Port Forwarding

Stop exposing your network to hackers. Learn how to use overlay VPNs and encrypted tunnels for secure remote home server access without port forwarding.

Por Natalie Ferreira 13 de abril de 2026 4 min de leitura
common.read_full_article