GitHub 網絡釣魚攻擊:偽造 VS Code 安全警告誘騙開發者
TL;DR
透過 GitHub Discussions 進行自動化散佈
是次惡意攻擊行動規模龐大,根據 Socket 的研究人員報告,在極短時間內,多個代碼庫(Repositories)均出現了數千條幾乎完全相同的訊息。攻擊者正利用 GitHub Discussions 功能散佈有關 Visual Studio Code 的虛假安全警報。由於 Discussions 會透過電郵向參與者和追蹤者發送通知,這些訊息亦能觸及平台以外的開發者,從而提升了攻擊的可信度與覆蓋範圍。這種手法讓威脅者能繞過傳統的垃圾郵件過濾器,利用受信任的平台將極具誤導性的誘餌直接送達開發者的收件箱。
圖片來源:Cybersecurity News
偽造安全公告與社交工程陷阱
這些虛假帖文偽裝成官方安全公告,標題極具煽動性,例如「Visual Studio Code – 嚴重漏洞 – 必須立即更新」或「關鍵漏洞利用 – 需採取緊急行動」。訊息中經常引用虛構的 CVE 編號及特定的 VS Code 版本以博取信任。在許多案例中,攻擊者更會冒充知名的維護者或安全研究人員,敦促用戶透過外部下載連結(通常託管在 Google Drive 等檔案共享服務)安裝「修復版本」。雖然這與 VS Code 擴充功能的正常發佈途徑不符,但利用受信任的第三方服務,令忙碌的開發者難以即時察覺威脅。
.webp)
多重重新導向與瀏覽器指紋追蹤
對攻擊基礎設施的分析顯示,其採用了複雜的流量分配系統(TDS)。當用戶點擊連結時,會先經由 Google 的共享端點進行路由。隨後路徑會分成兩條:擁有有效 Google Cookie 的用戶會被重新導向至受攻擊者控制的指令與控制(C2)域名;而沒有 Cookie 的用戶則會看到一個指紋採集頁面。該架構利用經過混淆處理的 JavaScript 頁面來收集以下數據:
- 時區及地區設定(Locale)
- 瀏覽器資訊及使用者代理(User Agent)
- 作業系統平台
- 自動化分析指標(例如
navigator.webdriver)
此機制充當了過濾層,用以區分真實受害者與自動化機械人或安全研究人員。
技術規避與偵察代碼片段
是次行動利用了輕量化且高度混淆的 JavaScript 偵察腳本。它不會立即植入惡意軟件,而是先對環境進行分析,以確保後續的漏洞利用能成功執行。規避技巧包括使用 CSS 色相旋轉(hue-rotate)濾鏡和隱藏的 iframe 來偵測是否存在環境偽裝。以下是經過反混淆處理的分析代碼片段,展示了腳本如何擷取系統狀態:
let d = -new Date().getTimezoneOffset(); // UTC 偏移量
let su = navigator.userAgent; // 使用者代理
// ... (完整的指紋數據會靜默地以 POST 方式傳送)
收集到的數據會經過編碼,並透過不可見的表單 POST 請求自動提交至 C2 伺服器。對於開發者而言,具備這種程度的網絡安全意識至關重要,因為這種攻擊結合了社交工程與平台漏洞利用,是一種不斷演變的威脅。
緩解措施與開發者安全指南
為了抵禦此類攻擊,開發者在處理協作平台上未經請求的安全警報時必須極度謹慎。官方針對套接字(Socket)相關軟件或 IDE 的修復程式,絕不會透過第三方檔案共享連結發佈。安全專家建議:
- 透過 Microsoft 官方渠道核實所有安全聲明。
- 仔細審查來自新創建或活動量低的帳戶所發出的通知。
- 直接向 GitHub 支援團隊舉報可疑的 Discussions 帖文。
- 利用強大的網上隱私工具及多重身份驗證(MFA)來保護開發環境。
資深 VPN 分析師,擁有超過 8 年網絡隱私與網絡安全經驗。專精於 VPN 技術、數碼安全及隱私保護。熱衷於幫助用戶應對複雜的網絡安全環境,並致力於讓全球用戶都能輕鬆配置 VPN。
如欲確保您的開發環境安全並保障數據私隱,請瀏覽 squirrelvpn.com 探索最新的保護技術。
