Entwickler werden vor einer groß angelegten Kampagne gewarnt, die die **GitHub**-Diskussionsfunktion ausnutzt, um Malware zu verbreiten. Der Angriff beinhaltet das Posten gefälschter **VS Code**-Sicherheitswarnungen, die sich als echte Schwachstellenhinweise ausgeben, um Benutzer zum Herunterladen bösartiger Software zu verleiten. ### Realistische Lockmittel und Identitätsdiebstahl Die täuschenden Beiträge enthalten oft realistische Titel wie „Schwere Schwachstelle – Sofortiges Update erforderlich“ und können gefälschte **CVE**-IDs enthalten, um ein Gefühl der Dringlichkeit zu erzeugen. In vielen Fällen geben sich die Bedrohungsakteure als legitime Code-Maintainer oder Sicherheitsforscher aus, um ihre Glaubwürdigkeit zu erhöhen. **Socket**, ein Unternehmen für Anwendungssicherheit, hat diese Aktivität als gut organisierte, groß angelegte Operation und nicht als gezielten Angriff charakterisiert. Die Diskussionen werden schnell von neu erstellten oder wenig aktiven Konten in Tausenden von Repositories gepostet, was E-Mail-Benachrichtigungen an eine große Anzahl markierter Benutzer und Follower auslöst.  *Quelle: Socket* „Frühe Suchen zeigen Tausende von fast identischen Beiträgen in Repositories, was darauf hindeutet, dass dies kein Einzelfall, sondern eine koordinierte Spam-Kampagne ist“, erklärten **Socket**-Forscher in ihrem Bericht. „Da **GitHub**-Diskussionen E-Mail-Benachrichtigungen für Teilnehmer und Beobachter auslösen, werden diese Beiträge auch direkt in die Posteingänge der Entwickler geliefert.“ ### Bösartige Links und Weiterleitungen Die Beiträge enthalten Links zu angeblich gepatchten Versionen der betroffenen **VS Code**-Erweiterungen, die auf externen Diensten wie **Google Drive** gehostet werden. Obwohl **Google Drive** ein vertrauenswürdiger Dienst ist, ist es nicht der offizielle Vertriebskanal für **VS Code**-Erweiterungen, und Benutzer, die schnell handeln, könnten dieses Warnsignal übersehen.  *Quelle: Socket* Das Klicken auf den **Google**-Link initiiert eine Cookie-gesteuerte Weiterleitungskette, die die Opfer zu `drnatashachinn[.]com` führt, wo ein **JavaScript**-Aufklärungsskript ausgeführt wird. Dieses Skript sammelt die Zeitzone, das Gebietsschema, den User-Agent, die Betriebssystemdetails und Indikatoren für Automatisierung des Opfers. Die gesammelten Daten werden dann über eine **POST**-Anfrage an den Command-and-Control-Server gesendet.  *Quelle: Socket* ### Traffic Distribution System (TDS) Dieser Schritt fungiert als Filterebene eines Traffic Distribution Systems (**TDS**), das Ziele profiliert, um Bots und Forscher herauszufiltern, und den sekundären Payload nur an validierte Opfer liefert. Obwohl **Socket** den sekundären Payload nicht erfasst hat, stellten sie fest, dass das **JS**-Skript ihn nicht direkt liefert und auch nicht versucht, Anmeldeinformationen zu erfassen. ### Frühere Vorfälle Dies ist nicht das erste Mal, dass Angreifer die Benachrichtigungssysteme von **GitHub** für bösartige Zwecke missbrauchen. Im März 2025 zielte eine weit verbreitete Phishing-Kampagne auf 12.000 **GitHub**-Repositories mit gefälschten Sicherheitswarnungen ab und verleitete Entwickler dazu, eine bösartige **OAuth**-App zu autorisieren. Im Juni 2024 missbrauchten Bedrohungsakteure das E-Mail-System von **GitHub** über Spam-Kommentare und Pull-Requests, um Ziele auf Phishing-Seiten zu leiten. ### Empfehlungen zur Eindämmung Bei Sicherheitswarnungen sollten Benutzer die Schwachstellen-Identifikatoren auf maßgeblichen Quellen wie der **National Vulnerability Database (NVD)**, dem Katalog der bekannten ausgenutzten Schwachstellen von **CISA** oder der Website des **MITRE** **Common Vulnerabilities and Exposures (CVE)**-Programms überprüfen. Untersuchen Sie Warnungen immer auf Anzeichen von Betrug, wie z. B. externe Download-Links, nicht verifizierbare **CVE**s und Massenmarkierungen von irrelevanten Benutzern, bevor Sie Maßnahmen ergreifen.