Фейковые алерты VS Code в GitHub заражают разработчиков — как защититься

Атакующие создают поддельные Issues с предупреждениями о безопасности и ссылками на фишинговые расширения. Под ударом — репозитории с 10K+ звёзд.

Новости Tproger
, отредактировано
Обложка: Фейковые алерты VS Code в GitHub заражают разработчиков — как защититься

Если вам пришло email-уведомление от GitHub с заголовком «Severe Vulnerability — Immediate Update Required» и ссылкой на Google Drive — не переходите по ней. Исследователи из компании Socket обнаружили масштабную кампанию по распространению вредоносного ПО через GitHub Discussions. Злоумышленники публикуют тысячи фейковых предупреждений о безопасности, маскируясь под мейнтейнеров популярных проектов, и направляют разработчиков на загрузку заражённых расширений для VS Code.

Атака затрагивает пользователей множества репозиториев на GitHub — уведомления о «критических уязвимостях» приходят прямо на почту всем подписчикам и участникам проектов.

Ключевые выводы

- Тысячи фейковых security-алертов публикуются в GitHub Discussions по множеству репозиториев - Злоумышленники выдают себя за мейнтейнеров и используют поддельные CVE ID - Ссылки ведут на вредоносные расширения VS Code, размещённые на Google Drive - За фасадом — Traffic Distribution System с JS-разведкой и фильтрацией исследователей - GitHub Discussions автоматически рассылает email-уведомления всем подписчикам репозиториев

Как работает атака

Кампания построена на злоупотреблении функцией GitHub Discussions — раздела для обсуждений внутри репозиториев. Атакующие создают новые аккаунты или используют малоактивные учётные записи и за считаные минуты публикуют тысячи постов с одинаковым шаблоном.

Каждый пост оформлен как срочное предупреждение о безопасности с заголовком вида Severe Vulnerability — Immediate Update Required. В тексте указаны поддельные CVE-идентификаторы (CVE — Common Vulnerabilities and Exposures, стандартная система нумерации известных уязвимостей) и ссылка на «пропатченную» версию расширения. Злоумышленники тщательно имитируют стиль настоящих security advisories и подписываются именами реальных мейнтейнеров или исследователей безопасности.

Ключевой рычаг атаки — механизм уведомлений GitHub. Все пользователи, которые подписаны на репозиторий (watchers) или участвовали в обсуждениях (participants), автоматически получают email с содержимым фейкового алерта. Таким образом, одна публикация в Discussions может охватить сотни и тысячи разработчиков.

Цепочка заражения

Ссылка из фейкового алерта ведёт на Google Drive, где размещён файл, замаскированный под обновлённое расширение VS Code. Далее запускается многоступенчатая цепочка:

  1. Жертва переходит по ссылке на Google Drive и скачивает файл
  2. Файл инициирует цепочку cookie-driven редиректов, которая приводит на домен drnatashachinn[.]com
  3. На этом домене выполняется JavaScript-скрипт разведки — он собирает данные о системе: часовой пояс, локаль, user agent, операционную систему и индикаторы автоматизации
  4. Собранные данные отправляются на C2-сервер (Command and Control — управляющий сервер атакующих) через POST-запрос
  5. Сервер работает как Traffic Distribution System (TDS) — фильтрует ботов и ИБ-исследователей, пропуская к следующему этапу только реальных пользователей

Исследователям из Socket не удалось перехватить финальную полезную нагрузку (payload — вредоносный код второго этапа) — TDS-система определяла их как аналитиков и блокировала доставку. Важно: сам JS-скрипт разведки не крадёт пароли и не перехватывает учётные данные — он только собирает информацию о системе для фильтрации. Что именно получают прошедшие фильтрацию жертвы — пока неизвестно.

Как распознать фейковый алерт

Разработчикам стоит проявлять бдительность при получении уведомлений о безопасности из GitHub Discussions. Вот чеклист для проверки:

  1. Проверьте автора поста — кликните на профиль. Новый аккаунт без активности или с минимальной историей — красный флаг
  2. Настоящие security advisories публикуются во вкладке Security репозитория, а не в Discussions
  3. Проверьте CVE ID через официальную базу cve.mitre.org или nvd.nist.gov — фейковые идентификаторы там не найдутся
  4. Не скачивайте расширения VS Code из Google Drive или любых внешних источников — используйте только официальный VS Code Marketplace
  5. Обращайте внимание на язык поста: паникёрские формулировки вроде «Immediate Update Required» нехарактерны для реальных мейнтейнеров
  6. Если получили email-уведомление — перейдите в репозиторий и проверьте обсуждение в контексте, а не переходите по ссылкам из письма

Прецеденты: атаки через GitHub в 2024–2025

Это не первый случай использования инфраструктуры GitHub для распространения вредоносного ПО:

  • Март 2025 — масштабная кампания затронула более 12 000 репозиториев. Злоумышленники публиковали фейковые security alerts и через них направляли разработчиков на авторизацию вредоносного OAuth-приложения, получая доступ к их аккаунтам
  • Июнь 2024 — атакующие использовали спам-комментарии и pull requests для запуска email-уведомлений GitHub, перенаправляя разработчиков на фишинговые страницы

Общий тренд очевиден: злоумышленники всё активнее эксплуатируют доверие разработчиков к платформе GitHub и её встроенные механизмы уведомлений для доставки вредоносного контента.

Как защититься прямо сейчас

Вот конкретные шаги, которые стоит предпринять уже сегодня:

  1. Отключите email-уведомления для Discussions: Settings → Notifications → Watching → Custom → снимите галочку с Discussions
  2. Включите двухфакторную аутентификацию на GitHub: Settings → Password and authentication → Enable two-factor authentication
  3. Проверьте список установленных расширений VS Code: откройте Extensions (Ctrl+Shift+X) → убедитесь, что все расширения установлены из официального VS Code Marketplace
  4. Не переходите по ссылкам из email-уведомлений GitHub — открывайте репозиторий напрямую в браузере
  5. Сообщайте о подозрительных постах через кнопку Report в GitHub Discussions — это помогает платформе быстрее блокировать вредоносный контент
Частые вопросы
1
Могут ли фейковые алерты появиться в любом репозитории?

Да. GitHub Discussions доступны в любом публичном репозитории, где эта функция включена. Злоумышленники автоматизировали процесс и публикуют посты сразу в множество репозиториев, выбирая проекты с большим количеством подписчиков для максимального охвата.

2
Что делать, если я уже перешёл по такой ссылке?

Если вы перешли по ссылке, но не скачивали и не устанавливали ничего — JS-скрипт разведки собрал базовую информацию о вашей системе (timezone, OS, user agent). Финальный payload неизвестен, поэтому точно оценить риск невозможно. На всякий случай: проверьте установленные расширения VS Code, проведите сканирование системы антивирусом и смените пароли от GitHub и связанных сервисов.

3
Предпринимает ли GitHub какие-то меры?

GitHub удаляет вредоносные посты по мере обнаружения, но масштаб автоматизации (тысячи постов за минуты) делает модерацию сложной задачей. Компания рекомендует пользователям сообщать о подозрительном контенте через кнопку Report в Discussions.

4
Как отключить email-уведомления из GitHub Discussions?

В настройках репозитория выберите Watching → Custom → снимите галочку с Discussions. Или перейдите на уровень Participating only — тогда уведомления будут приходить только по тредам, в которых вы участвовали лично.

Выводы

Атака через GitHub Discussions показывает, что даже доверенные платформы могут стать каналом доставки вредоносного ПО. Злоумышленники комбинируют социальную инженерию (срочность, имитация авторитетных фигур), легитимную инфраструктуру (Google Drive, email-уведомления GitHub) и техническую изощрённость (TDS-фильтрация, JS-разведка). Подробности — в отчёте BleepingComputer.

Главное правило остаётся прежним: не устанавливайте ПО из непроверенных источников, даже если предупреждение выглядит правдоподобно. Настоящие обновления безопасности для расширений VS Code всегда доступны через официальный VS Code Marketplace.

В этой статье
  1. Ключевые выводы
  2. Как работает атака
  3. Цепочка заражения
  4. Как распознать фейковый алерт
  5. Прецеденты: атаки через GitHub в 2024–2025
  6. Как защититься прямо сейчас
  7. Частые вопросы
  8. Выводы
Следите за новыми постами
Следите за новыми постами по любимым темам
Рекомендуем

Нашли опечатку? Выделите фрагмент и
отправьте нажатием Ctrl+Enter