GitHub 钓鱼攻击:冒充 VS Code 安全警报诱导开发者
TL;DR
通过 GitHub Discussions 实现自动化分发
此次攻击活动以规模庞大为显著特征。根据 Socket 研究人员的报告,短时间内在多个代码仓库中出现了数千条几乎完全相同的消息。攻击者正利用 GitHub Discussions 功能散布有关 Visual Studio Code 的虚假安全警报。由于 Discussions 会通过电子邮件向参与者和关注者发送通知,这些消息也能触达平台之外的开发者,从而增强了攻击的可信度和覆盖范围。这种手段允许威胁行为者绕过传统的垃圾邮件过滤器,通过受信任的平台将极具迷惑性的诱饵直接投递到开发者的收件箱中。
图片由 Cybersecurity News 提供
伪造安全公告与社会工程学陷阱
这些虚假帖子伪装成官方安全公告,使用了诸如“Visual Studio Code – 严重漏洞 – 需立即更新”或“关键漏洞利用 – 需紧急采取行动”等耸人听闻的标题。为了博取信任,这些消息通常会引用虚构的 CVE 编号和特定的 VS Code 版本号。在许多案例中,攻击者还会冒充知名的维护者或安全研究人员。用户被怂恿通过外部下载链接安装所谓的“补丁”版本,而这些链接通常托管在 Google Drive 等文件共享服务上。虽然这背离了 VS Code 扩展的正常分发方式,但利用受信任的第三方服务使得忙碌的开发者往往难以在第一时间察觉威胁。
.webp)
多级重定向与浏览器画像分析
对攻击基础设施的分析揭示了一个复杂的流量分发系统 (TDS)。当用户点击链接时,会先通过 Google 的共享端点进行路由。随后路径发生分流:拥有有效 Google Cookie 的用户会被重定向到攻击者控制的命令与控制 (C2) 域名,而没有 Cookie 的用户则会看到一个指纹采集页面。该架构利用混淆的 JavaScript 页面来收集以下数据:
- 时区和语言区域
- 浏览器信息和用户代理 (User Agent)
- 操作系统平台
- 自动化分析指标(例如
navigator.webdriver)
这一机制充当了过滤层,旨在将真实的受害者与机器人或安全研究人员区分开来。
技术规避与侦察代码片段
该攻击活动利用了一个轻量级且高度混淆的 JavaScript 侦察脚本。它不会立即植入恶意软件,而是先对环境进行画像分析,以确保后续的漏洞利用能够成功。规避技巧包括使用 CSS 色相旋转 (hue-rotate) 滤镜和隐藏的 iframe 来检测环境伪装。一段去混淆后的画像分析代码展示了脚本如何捕获系统状态:
let d = -new Date().getTimezoneOffset(); // UTC 偏移量
let su = navigator.userAgent; // 用户代理
// ... (完整的指纹数据通过后台静默发送)
收集到的数据经过编码后,通过一个不可见的表单 POST 请求自动提交给 C2 服务器。对于开发者而言,具备这种水平的数字安全意识至关重要,因为这种攻击融合了社会工程学与平台滥用,是一种不断演变的威胁。
缓解措施与开发者安全建议
为了防御此类攻击活动,开发者在处理协作平台上未经请求的安全警报时必须保持高度警惕。任何针对套接字相关软件或集成开发环境 (IDE) 的合法补丁,绝不会通过第三方文件共享链接进行分发。安全专家建议:
- 通过微软官方渠道核实所有安全声明。
- 仔细审查来自新创建账号或低活跃度账号的通知。
- 直接向 GitHub 支持团队举报可疑的 Discussions 讨论。
- 利用强大的在线隐私工具和多因素身份验证 (MFA) 来保护开发环境。
资深 VPN 分析师,在在线隐私和网络安全领域拥有超过 8 年的经验。擅长 VPN 技术、数字安全和隐私保护。致力于帮助用户应对复杂的网络安全环境,并让全球用户都能轻松配置 VPN。
若要确保您的开发环境安全无虞并保持数据私密,请访问 squirrelvpn.com 探索最新的防护技术。
