Uma campanha de phishing em larga escala está atingindo desenvolvedores de software no GitHub, utilizando alertas de segurança do Visual Studio Code falsos postados em Discussões do GitHub para enganar usuários e fazê-los baixar software malicioso. Os ataques são projetados para parecerem avisos de segurança legítimos, alertando desenvolvedores sobre vulnerabilidades críticas no VS Code e instando-os a instalar uma versão supostamente corrigida através de um link externo. A campanha surgiu através de milhares de postagens quase idênticas inundando repositórios do GitHub em minutos uns dos outros.
Mecanismo da campanha de phishing
Cada postagem imita um aviso de segurança oficial, com títulos alarmantes como "Visual Studio Code – Vulnerabilidade Grave – Atualização Imediata Necessária", "Exploração Crítica – Ação Urgente Necessária" e "Ameaça Grave – Atualize Imediatamente". As postagens frequentemente referem-se a CVEs fabricados e intervalos de versão falsos para tornar os avisos mais credíveis. Como as Discussões do GitHub disparam automaticamente notificações por e-mail para participantes e observadores de repositórios, esses alertas falsos também são entregues diretamente às caixas de entrada dos desenvolvedores, estendendo o alcance da campanha muito além da própria plataforma.
Exploração do sistema de notificações do GitHub
Analistas da Socket.dev identificaram a campanha como uma operação de spam coordenada, observando que as postagens estavam sendo criadas por contas recém-criadas ou de baixa atividade, marcando um grande número de desenvolvedores em repositórios não relacionados para máxima exposição. Os pesquisadores descobriram que a campanha abusa do próprio sistema de notificações do GitHub para fazer com que os alertas falsos pareçam tanto urgentes quanto legítimos, uma tática que reduz o ceticismo natural de um desenvolvedor ao ler o que parece ser um aviso de plataforma confiável.
Redirecionamento em múltiplos passos e fingerprinting
Os analistas da Socket.dev rastrearam um dos payloads vinculados às Discussões falsas e descobriram uma cadeia de redirecionamento em múltiplos passos cuidadosamente construída. Clicar no link primeiro roteia a vítima através de um endpoint de compartilhamento do Google. A partir daí, o caminho se divide com base no navegador do usuário ter um cookie do Google válido. Usuários com um cookie são automaticamente enviados via redirecionamento 301 para o domínio controlado pelo atacante, drnatashachinn[.]com, que funciona como o servidor de comando e controle da campanha. Usuários sem um cookie são servidos uma página de fingerprinting diretamente do endpoint do Google, provavelmente como um fallback para filtrar bots e scanners de segurança automatizados.
Impacto nos desenvolvedores e riscos operacionais
Uma vez que um usuário real chega à infraestrutura do atacante, um payload de JavaScript ofuscado é executado imediatamente. O script coleta dados de fingerprinting do navegador, incluindo fuso horário, localidade, plataforma, agente de usuário e sinais de automação como navigator.webdriver, usados para identificar se o visitante é uma pessoa real ou um bot. Um iframe oculto verifica adicionalmente o agente de usuário para detectar ambientes falsificados. Todos os dados coletados são então enviados silenciosamente para o endpoint do atacante via uma solicitação POST automática, sem exigir interação da vítima.
Medidas de mitigação e recomendações para CISOs
Os desenvolvedores devem tratar todos os alertas de segurança não solicitados nas Discussões do GitHub com cautela, especialmente quando as postagens incluem links de download externos, referências de CVE não verificáveis, instruções de instalação urgentes, marcação em massa de usuários não relacionados ou conteúdo de contas recém-criadas. As atualizações de segurança do VS Code devem sempre ser verificadas apenas através dos canais oficiais da Microsoft, e qualquer Discussão suspeita deve ser relatada diretamente ao GitHub para revisão.
Perguntas frequentes
- Como identificar alertas falsos? Verifique se o link leva a um domínio oficial da Microsoft ou GitHub.
- O que fazer ao receber um alerta? Não clique em links externos; verifique no site oficial do VS Code.
- Qual o risco? Download de malware e comprometimento de credenciais.
- Como reportar? Use a função de relatório do GitHub para Discussões suspeitas.
Conclusão
A escala da campanha é particularmente alarmante. Centenas a milhares dessas postagens apareceram nos resultados de pesquisa do GitHub em rápida sucessão, apontando para uma operação fortemente automatizada. O fato de os desenvolvedores estarem sendo atingidos dentro de uma plataforma em que confiam diariamente, em vez de através de e-mails de phishing tradicionais, marca uma mudança notável na forma como os atacantes abordam as ameaças focadas em desenvolvedores.