GitHub 釣魚攻擊:假冒 VS Code 安全警報鎖定開發者
TL;DR
透過 GitHub Discussions 實現自動化散播
這場攻擊行動的特點在於其驚人的規模。根據 Socket 研究人員的報告,短時間內就有數千則幾乎完全相同的訊息出現在各大儲存庫(Repository)中。攻擊者正利用 GitHub Discussions 功能,散佈有關 Visual Studio Code 的虛假安全性警報。由於 Discussions 會透過電子郵件將通知發送給參與者與追蹤者,這些訊息也能觸及平台外的開發者,進而提升了攻擊的可信度與傳播範圍。這種手法讓威脅分子能規避傳統的垃圾郵件過濾機制,藉由受信任的平台,將極具說服力的誘餌直接投遞到開發者的收件匣中。
圖片來源:Cybersecurity News
偽造安全性公告與社交工程陷阱
這些虛假貼文偽裝成官方安全性公告,並使用令人不安的標題,例如「Visual Studio Code – 嚴重漏洞 – 須立即更新」或「關鍵漏洞利用 – 需採取緊急行動」。訊息中經常引用虛構的 CVE 編號與特定的 VS Code 版本以建立信任感。在許多案例中,攻擊者甚至會冒充知名的維護者或資安研究人員。用戶被要求透過外部下載連結(通常託管在 Google Drive 等檔案共享服務上)安裝「修補版本」。雖然這與 VS Code 擴充功能的正規發佈方式不符,但由於使用了受信任的第三方服務,忙碌的開發者往往難以在第一時間察覺異樣。
.webp)
多階層重新導向與瀏覽器特徵分析
對攻擊基礎設施的分析顯示,這是一套複雜的流量分配系統(TDS)。當用戶點擊連結時,會先被引導至 Google 的共享端點。接著路徑會產生分流:擁有有效 Google Cookie 的用戶會被重新導向至攻擊者控制的中繼伺服器(C2)網域;而沒有 Cookie 的用戶則會看到一個用於收集數位指紋的頁面。該架構利用混淆過的 JavaScript 頁面來收集以下數據:
- 時區與語系設定
- 瀏覽器資訊與使用者代理字串(User Agent)
- 作業系統平台
- 自動化分析工具的跡象(例如
navigator.webdriver)
此機制充當了過濾層,用以區分真正的受害者與機器人或資安研究人員。
技術規避與偵察程式碼片段
此攻擊行動採用了一段輕量且高度混淆的 JavaScript 偵察腳本。它不會立即植入惡意軟體,而是先分析環境特徵,以確保後續的漏洞攻擊能成功執行。規避技巧包括使用 CSS 的 hue-rotate 濾鏡和隱藏的 iframe 來偵測環境是否為模擬偽造。以下是反混淆後的分析程式碼片段,展示了腳本如何擷取系統狀態:
let d = -new Date().getTimezoneOffset(); // UTC 時差
let su = navigator.userAgent; // 使用者代理字串
// ... (完整的指紋數據將以隱形方式進行 POST 傳輸)
收集到的數據會經過編碼,並透過隱形的表單 POST 請求自動提交至 C2 伺服器。對於開發者而言,具備這種程度的數位安全意識至關重要,因為這類攻擊正不斷演進,結合了社交工程與平台漏洞濫用。
防範對策與開發者安全建議
為了抵禦這類攻擊,開發者在處理協作平台上未經請求的安全性警報時必須格外謹慎。Socket 相關軟體或 IDE 的合法補丁絕不會透過第三方檔案共享連結發佈。資安專家建議:
- 務必透過微軟(Microsoft)官方管道核實所有安全性聲明。
- 仔細審查來自新建立或低活動量帳號的通知。
- 直接向 GitHub 支援團隊 檢舉可疑的 Discussions 貼文。
- 利用強大的線上隱私工具與多因素驗證(MFA)來保護開發環境。
身為擁有超過 8 年線上隱私與網路安全經驗的資深 VPN 分析師,我專精於 VPN 技術、數位安全與隱私防護。我致力於協助用戶應對複雜的網路安全環境,並讓全球使用者都能輕鬆上手 VPN 設定。
若要確保您的開發環境安全無虞並維護數據隱私,請前往 squirrelvpn.com 探索最新的防護技術。
