Нова координирана кампания компрометира доверието в платформата GitHub, като използва секцията Discussions за разпространение на фалшиви предупреждения за уязвимости във Visual Studio Code (VS Code). Целта е ясна – да се подмамят разработчици да изтеглят зловреден софтуер под прикритието на спешни ъпдейти.

Според изследване на Socket, става дума за мащабна и добре организирана операция, а не за изолирани инциденти.

Как работи атаката

1. Фалшиви сигнали за уязвимости

Атакуващите публикуват постове с убедителни заглавия като:

• “Severe Vulnerability – Immediate Update Required”
• Използват се измислени или подвеждащи CVE идентификатори
• Често се имитират реални поддържащи проекти или изследователи

Това създава фалшиво усещане за легитимност и спешност.

2. Масово разпространение чрез автоматизация

• Публикации се появяват в хиляди хранилища в рамките на минути
• Използват се нови или слабо активни акаунти
• Масово се тагват потребители чрез генериране на имейл известия

Така атаката достига директно до inbox-ите на разработчиците.

Зловредната верига

3. Подвеждащи линкове

Постовете съдържат линкове към уж „поправени“ версии на разширения за VS Code, хоствани в услуги като Google Drive.

 Въпреки че това е доверена платформа, тя не е официален канал за дистрибуция на разширения, което е ключов индикатор за измама.

4. Пренасочване и профилиране

При кликване:

• Потребителят преминава през cookie-базирана redirect верига
• Попада на домейн, който изпълнява JavaScript reconnaissance скрипт

Скриптът събира:

• timezone и locale
• user agent
• операционна система
• индикатори за автоматизация

Данните се изпращат към C2 сървър чрез POST заявка.

5. TDS филтриране

Този етап действа като Traffic Distribution System (TDS):

• филтрира ботове и изследователи
• допуска само „валидни“ жертви до следващия етап

Вторичният payload не е засечен, но вероятно се доставя селективно.

Част от по-широка тенденция

Това не е първият случай на злоупотреба с екосистемата на GitHub:

• През 2025 г. фишинг кампания засегна 12 000 хранилища, използвайки злонамерени OAuth приложения
• През 2024 г. атакуващи използваха pull request-и и коментари за разпространение на фишинг линкове

Тенденцията е ясна – доверените developer платформи се превръщат в канал за атаки по веригата на доставките (supply chain).

Как да се предпазим

При получаване на подобни „сигнали“:

Проверка на информацията

• Валидирайте CVE в:
  • National Vulnerability Database
  • CISA
  • MITRE

Внимавайте за червени флагове

• Външни линкове за изтегляне
• Неясни или несъществуващи CVE номера
• Масово тагване на несвързани потребители
• Прекалено „спешен“ тон

Добри практики

• Изтегляйте разширения само от официалния marketplace
• Избягвайте импулсивни действия при „спешни“ сигнали
• Следете за необичайна активност в репозитории, които следите

Настоящата кампания показва колко лесно може да бъде експлоатирано доверието в developer екосистемите. Комбинацията от:

• социално инженерство
• автоматизация
• легитимни платформи

създава изключително ефективен вектор за атака.

В съвременната среда дори „сигнал за сигурност“ може да бъде сам по себе си заплаха.