Фишинг на GitHub: фейковые угрозы безопасности VS Code

Автоматизированная рассылка через GitHub Discussions

Данная кампания отличается внушительными масштабами: исследователи из Socket сообщают, что за короткий промежуток времени в различных репозиториях появляются тысячи почти идентичных сообщений. Злоумышленники эксплуатируют функционал GitHub Discussions, чтобы распространять фальшивые уведомления о безопасности Visual Studio Code. Поскольку раздел Discussions отправляет уведомления по электронной почте всем участникам и подписчикам, сообщения доходят до разработчиков даже за пределами платформы, что повышает доверие к атаке и расширяет охват. Этот метод позволяет хакерам обходить традиционные спам-фильтры, доставляя крайне убедительные приманки прямо во входящие сообщения разработчиков через доверенный ресурс.

Изображение предоставлено Cybersecurity News

Сфабрикованные рекомендации по безопасности и социальная инженерия

Фальшивые посты маскируются под официальные рекомендации по безопасности (Security Advisories) с тревожными заголовками вроде «Visual Studio Code – Severe Vulnerability – Immediate Update Required» или «Critical Exploit – Urgent Action Needed». В сообщениях часто упоминаются вымышленные идентификаторы CVE и конкретные версии VS Code для создания иллюзии достоверности. Во многих случаях злоумышленники выдают себя за известных мейнтейнеров или исследователей в области кибербезопасности. Пользователей призывают установить «пропатченную» версию по внешним ссылкам, которые часто ведут на файлообменные сервисы, такие как Google Drive. Хотя это и противоречит стандартному способу обновления расширений VS Code, использование доверенных сторонних сервисов усыпляет бдительность занятых разработчиков.

Многоступенчатая переадресация и профилирование браузера

Анализ инфраструктуры атаки выявил сложную систему распределения трафика (TDS). Когда пользователь кликает по ссылке, он сначала попадает на промежуточный эндпоинт Google. Затем путь разделяется: пользователи с валидными куками Google перенаправляются на подконтрольный злоумышленникам командный домен (C2), в то время как остальные видят страницу для снятия «цифрового отпечатка». Эта инфраструктура использует обфусцированную JavaScript-страницу для сбора таких данных, как:

• Часовой пояс и локаль;
• Информация о браузере и User Agent;
• Операционная система;
• Признаки автоматизированного анализа (например, navigator.webdriver).

Этот механизм служит фильтром, позволяющим отличить реальных жертв от ботов и исследователей безопасности.

Техники обхода защиты и разведывательные скрипты

В кампании используется легковесный, сильно обфусцированный JavaScript-скрипт для разведки. Он не загружает вредоносное ПО мгновенно, а сначала профилирует среду, чтобы гарантировать успех последующей эксплуатации. Среди уловок для обхода защиты — использование CSS-фильтров hue-rotate и скрытых iframe для обнаружения подмены среды (spoofing). Деобфусцированный фрагмент кода профилирования показывает, как скрипт фиксирует состояние системы:

let d = -new Date().getTimezoneOffset();  // Смещение UTC
let su = navigator.userAgent;             // User agent
// ... (полные данные фингерпринтинга скрыто отправляются через POST)

Собранные данные кодируются и автоматически отправляются через невидимую форму POST-запросом на C2-сервер. Подобный уровень осведомленности в вопросах цифровой безопасности крайне важен для разработчиков, так как эта атака представляет собой эволюционирующую угрозу, сочетающую социальную инженерию с эксплуатацией доверенных платформ.

Меры защиты и безопасность разработчиков

Чтобы защититься от подобных кампаний, разработчики должны проявлять крайнюю осторожность при получении незапрошенных уведомлений о безопасности на платформах для совместной работы. Легитимные патчи для ПО или сред разработки (IDE) никогда не распространяются через сторонние ссылки на файлообменники. Эксперты по безопасности рекомендуют:

• Проверять все заявления об уязвимостях через официальные каналы Microsoft.
• Тщательно изучать уведомления, исходящие от недавно созданных или малоактивных аккаунтов.
• Сообщать о подозрительных обсуждениях напрямую в поддержку GitHub.
• Использовать надежные инструменты для обеспечения конфиденциальности в сети и многофакторную аутентификацию для защиты сред разработки.

Эксперт-аналитик в области VPN с более чем 8-летним опытом работы в сфере онлайн-приватности и кибербезопасности. Специализируется на технологиях VPN, цифровой безопасности и защите данных. Стремится помогать пользователям ориентироваться в сложном мире интернет-безопасности и делать настройку VPN доступной для каждого.

Чтобы ваша среда разработки оставалась защищенной, а данные — конфиденциальными, ознакомьтесь с новейшими технологиями защиты на squirrelvpn.com.