Se advierte a los desarrolladores sobre una campaña a gran escala que explota la función de Discusiones de **GitHub** para propagar malware. El ataque consiste en publicar falsas alertas de seguridad de **VS Code**, haciéndose pasar por avisos de vulnerabilidad genuinos, para engañar a los usuarios y que descarguen software malicioso. ### Señuelos realistas e impersonación Las publicaciones engañosas a menudo presentan títulos realistas como "Vulnerabilidad grave - Actualización inmediata requerida" y pueden incluir identificadores **CVE** fabricados para crear un sentido de urgencia. En muchos casos, los actores de amenazas se hacen pasar por mantenedores de código legítimos o investigadores de seguridad para aumentar la credibilidad. **Socket**, una empresa de seguridad de aplicaciones, ha caracterizado esta actividad como una operación bien organizada y a gran escala, en lugar de un ataque de nicho. Las discusiones se publican rápidamente desde cuentas recién creadas o de baja actividad en miles de repositorios, activando notificaciones por correo electrónico a un gran número de usuarios etiquetados y seguidores.  *Fuente: Socket* "Las búsquedas iniciales muestran miles de publicaciones casi idénticas en repositorios, lo que indica que no se trata de un incidente aislado, sino de una campaña de spam coordinada", declararon los investigadores de **Socket** en su informe. "Dado que las Discusiones de **GitHub** activan notificaciones por correo electrónico para los participantes y observadores, estas publicaciones también se entregan directamente en las bandejas de entrada de los desarrolladores". ### Enlaces maliciosos y redirección Las publicaciones incluyen enlaces a supuestas versiones parcheadas de las extensiones afectadas de **VS Code**, alojadas en servicios externos como **Google Drive**. Si bien **Google Drive** es un servicio de confianza, no es el canal de distribución oficial para las extensiones de **VS Code**, y los usuarios que actúan rápidamente podrían pasar por alto esta señal de alerta.  *Fuente: Socket* Hacer clic en el enlace de **Google** inicia una cadena de redirección basada en cookies, que lleva a las víctimas a `drnatashachinn[.]com`, la cual ejecuta un script de reconocimiento en **JavaScript**. Este script recopila la zona horaria, la configuración regional, el agente de usuario, los detalles del sistema operativo y los indicadores de automatización de la víctima. Los datos recopilados se envían luego al servidor de comando y control a través de una solicitud **POST**.  *Fuente: Socket* ### Sistema de Distribución de Tráfico (TDS) Este paso actúa como una capa de filtrado del sistema de distribución de tráfico (**TDS**), perfilando a los objetivos para filtrar bots e investigadores, y entregando el payload de segunda etapa solo a las víctimas validadas. Si bien **Socket** no capturó el payload de segunda etapa, notaron que el script **JS** no lo entrega directamente ni intenta capturar credenciales. ### Incidentes previos Esta no es la primera vez que los atacantes aprovechan los sistemas de notificación de **GitHub** con fines maliciosos. En marzo de 2025, una campaña de phishing generalizada apuntó a 12.000 repositorios de **GitHub** con falsas alertas de seguridad, engañando a los desarrolladores para que autorizaran una aplicación **OAuth** maliciosa. En junio de 2024, los actores de amenazas abusaron del sistema de correo electrónico de **GitHub** a través de comentarios spam y solicitudes de extracción, dirigiendo a los objetivos a páginas de phishing. ### Consejo de mitigación Al encontrarse con alertas de seguridad, los usuarios deben verificar los identificadores de vulnerabilidad en fuentes autorizadas como la Base de Datos Nacional de Vulnerabilidades (**NVD**), el catálogo de Vulnerabilidades Explotadas Conocidas de **CISA**, o el sitio web del programa **Common Vulnerabilities and Exposures (CVE)** de **MITRE**. Siempre escudriñe las alertas en busca de signos de fraude, como enlaces de descarga externos, **CVE**s no verificables y etiquetado masivo de usuarios no relacionados, antes de tomar medidas.