Μια μεγάλης κλίμακας καμπάνια στοχεύει προγραμματιστές στο GitHub με ψεύτικες ειδοποιήσεις ασφαλείας Visual Studio Code (VS Code) που δημοσιεύονται στην ενότητα Συζητήσεις διαφόρων έργων, για να εξαπατήσουν τους χρήστες να κατεβάσουν κακόβουλο λογισμικό.
Οι ανεπιθύμητες αναρτήσεις δημιουργούνται ως ενδείξεις ευπάθειας και χρησιμοποιούν ρεαλιστικούς τίτλους όπως “Σοβαρή ευπάθεια – Απαιτείται άμεση ενημέρωση”, που συχνά περιλαμβάνουν πλαστά αναγνωριστικά CVE και επείγουσα γλώσσα.
Σε πολλές περιπτώσεις, ο παράγοντας απειλής υποδύεται πραγματικούς συντηρητές κώδικα ή ερευνητές για μια ψευδή αίσθηση νομιμότητας.
Η εταιρεία ασφάλειας εφαρμογών Socket λέει ότι η δραστηριότητα φαίνεται να είναι μέρος μιας καλά οργανωμένης επιχείρησης μεγάλης κλίμακας και όχι μιας στενής στοχευμένης, ευκαιριακής επίθεσης.
Οι συζητήσεις δημοσιεύονται με αυτοματοποιημένο τρόπο από νέους λογαριασμούς ή λογαριασμούς χαμηλής δραστηριότητας σε χιλιάδες αποθετήρια μέσα σε λίγα λεπτά και ενεργοποιούν ειδοποιήσεις μέσω email σε μεγάλο αριθμό χρηστών και ακολούθων με ετικέτα.
Πηγή: Socket
«Οι πρώτες αναζητήσεις δείχνουν χιλιάδες σχεδόν πανομοιότυπες αναρτήσεις σε αποθετήρια, υποδεικνύοντας ότι δεν πρόκειται για μεμονωμένο περιστατικό, αλλά για μια συντονισμένη εκστρατεία ανεπιθύμητης αλληλογραφίας», λένε οι ερευνητές του Socket. έκθεση αυτή την εβδομάδα.
“Επειδή οι Συζητήσεις του GitHub ενεργοποιούν ειδοποιήσεις μέσω email για συμμετέχοντες και παρατηρητές, αυτές οι αναρτήσεις παραδίδονται επίσης απευθείας στα εισερχόμενα των προγραμματιστών.”
Οι αναρτήσεις περιλαμβάνουν συνδέσμους προς υποτιθέμενες επιδιορθωμένες εκδόσεις των επηρεαζόμενων επεκτάσεων VS Code, που φιλοξενούνται σε εξωτερικές υπηρεσίες όπως το Google Drive.
Πηγή: Socket
Αν και το Google Drive δεν είναι προφανώς το επίσημο κανάλι διανομής λογισμικού για επέκταση VS Code, είναι μια αξιόπιστη υπηρεσία και οι χρήστες που ενεργούν βιαστικά μπορεί να χάσουν την κόκκινη σημαία.
Κάνοντας κλικ στον σύνδεσμο Google ενεργοποιείται μια αλυσίδα ανακατεύθυνσης που βασίζεται σε cookie που οδηγεί τα θύματα στο drnatashachinn[.]com, το οποίο εκτελεί ένα σενάριο αναγνώρισης JavaScript.
Αυτό το ωφέλιμο φορτίο συλλέγει τη ζώνη ώρας του θύματος, τις τοπικές ρυθμίσεις, τον παράγοντα χρήστη, τα στοιχεία του λειτουργικού συστήματος και τις ενδείξεις για αυτοματοποίηση. Τα δεδομένα συσκευάζονται και αποστέλλονται στο command-and-control μέσω αιτήματος POST.
Πηγή: Socket
Αυτό το βήμα χρησιμεύει ως στρώμα φιλτραρίσματος συστήματος διανομής κυκλοφορίας (TDS), δημιουργώντας προφίλ στόχων για να απωθήσουν bots και ερευνητές και παραδίδοντας το δεύτερο στάδιο μόνο σε επικυρωμένα θύματα.
Το Socket δεν κατέλαβε το ωφέλιμο φορτίο δεύτερου σταδίου, αλλά σημείωσε ότι το σενάριο JS δεν το παραδίδει απευθείας, ούτε επιχειρεί να καταγράψει διαπιστευτήρια.
Δεν είναι η πρώτη φορά που οι φορείς απειλών κάνουν κατάχρηση των νόμιμων συστημάτων ειδοποιήσεων GitHub για τη διανομή phishing και κακόβουλου λογισμικού.
Τον Μάρτιο του 2025, μια εκτεταμένη καμπάνια phishing στόχευσε 12.000 αποθετήρια GitHub με ψεύτικες ειδοποιήσεις ασφαλείας που είχαν σχεδιαστεί για να εξαπατήσουν τους προγραμματιστές να εξουσιοδοτήσουν μια κακόβουλη εφαρμογή OAuth που παρείχε στους εισβολείς πρόσβαση στους λογαριασμούς τους.
Τον Ιούνιο του 2024, παράγοντες απειλών ενεργοποίησαν το σύστημα email του GitHub μέσω σχολίων ανεπιθύμητης αλληλογραφίας και αιτημάτων έλξης που υποβλήθηκαν σε αποθετήρια, για να κατευθύνουν στόχους σε σελίδες ηλεκτρονικού ψαρέματος.
Όταν αντιμετωπίζουν ειδοποιήσεις ασφαλείας, συνιστάται στους χρήστες να επαληθεύουν τα αναγνωριστικά ευπάθειας σε έγκυρες πηγές, όπως π.χ. Εθνική βάση δεδομένων ευπάθειας (NVD), ο κατάλογος της CISA με γνωστά τρωτά σημεία εκμετάλλευσης ή ο ιστότοπος της MITRE για το Κοινά τρωτά σημεία και εκθέσεις πρόγραμμα.
Αφιερώστε λίγο χρόνο για να εξετάσετε τη νομιμότητά τους πριν ξεκινήσετε τη δράση και να αναζητήσετε σημάδια απάτης, όπως εξωτερικούς συνδέσμους λήψης, μη επαληθεύσιμα CVE και μαζικές ετικέτες σε μη συνδεδεμένους χρήστες.
Η αυτοματοποιημένη διενέργεια δοκιμής αποδεικνύει ότι η διαδρομή υπάρχει. Το BAS αποδεικνύει εάν τα χειριστήρια σας το σταματούν. Οι περισσότερες ομάδες τρέχουν η μία χωρίς την άλλη.
Αυτή η λευκή βίβλος χαρτογραφεί έξι επιφάνειες επικύρωσης, δείχνει πού τελειώνει η κάλυψη και παρέχει στους επαγγελματίες τρεις διαγνωστικές ερωτήσεις για οποιαδήποτε αξιολόγηση εργαλείου.
VIA: bleepingcomputer.com
