開発者は、マルウェア拡散のためにGitHubのDiscussions機能が悪用されている大規模キャンペーンについて警告を受けています。この攻撃は、正規の脆弱性アドバイザリを装った偽のVS Codeセキュリティアラートを投稿し、ユーザーを欺いて悪意のあるソフトウェアをダウンロードさせるものです。 ### リアルな誘いとなりすまし 欺瞞的な投稿には、「深刻な脆弱性 - 緊急アップデートが必要」といったリアルなタイトルのほか、緊急性を演出するために偽造されたCVE IDが含まれることがあります。多くの場合、攻撃者は信頼性を高めるために、正規のコードメンテナーやセキュリティ研究者になりすましています。 アプリケーションセキュリティ企業であるSocketは、この活動を、狭く標的を絞った攻撃ではなく、組織化された大規模なオペレーションとして特徴づけています。ディスカッションは、新しく作成された、またはアクティビティの低いアカウントから数千のリポジトリにわたって迅速に投稿され、多数のタグ付けされたユーザーやフォロワーにメール通知をトリガーします。  *出典: Socket* 「初期の検索では、リポジトリ全体にほぼ同一の投稿が数千件見つかり、これが孤立した事件ではなく、連携されたスパムキャンペーンであることを示しています」とSocketの研究者は報告書で述べています。「GitHub Discussionsは参加者やウォッチャーにメール通知をトリガーするため、これらの投稿は開発者の受信トレイにも直接配信されます。」 ### 悪意のあるリンクとリダイレクト 投稿には、Google Driveのような外部サービスでホストされている、影響を受けるVS Code拡張機能の修正済みとされるバージョンへのリンクが含まれています。Google Driveは信頼できるサービスですが、VS Code拡張機能の公式な配布チャネルではなく、迅速に行動するユーザーは、この警告を見落とす可能性があります。  *出典: Socket* Googleのリンクをクリックすると、Cookieベースのリダイレクトチェーンが開始され、被害者は`drnatashachinn[.]com`に誘導されます。ここで、JavaScriptの偵察スクリプトが実行されます。このスクリプトは、被害者のタイムゾーン、ロケール、ユーザーエージェント、OSの詳細、および自動化の兆候を収集します。収集されたデータは、POSTリクエストを介してコマンドアンドコントロールサーバーに送信されます。  *出典: Socket* ### トラフィックディストリビューションシステム（TDS） このステップは、トラフィックディストリビューションシステム（TDS）のフィルタリングレイヤーとして機能し、ボットや研究者をフィルタリングするためにターゲットをプロファイリングし、検証済みの被害者にのみセカンドステージペイロードを配信します。Socketはセカンドステージペイロードをキャプチャしませんでしたが、JSスクリプトはそれを直接配信したり、認証情報をキャプチャしようとしたりしないことに注意しています。 ### 過去のインシデント 攻撃者が悪意のある目的でGitHubの通知システムを悪用したのは今回が初めてではありません。2025年3月には、大規模なフィッシングキャンペーンが12,000件のGitHubリポジトリを偽のセキュリティアラートで標的にし、開発者を騙して悪意のあるOAuthアプリを承認させました。 2024年6月には、攻撃者がスパムコメントやプルリクエストを介してGitHubのメールシステムを悪用し、ターゲットをフィッシングページに誘導しました。 ### 緩和策 セキュリティアラートに遭遇した場合、ユーザーはNational Vulnerability Database（NVD）、CISAのKnown Exploited Vulnerabilitiesカタログ、またはMITREのCommon Vulnerabilities and Exposures（CVE）プログラムのウェブサイトなどの権威あるソースで脆弱性識別子を検証する必要があります。アクションを起こす前に、外部ダウンロードリンク、検証不可能なCVE、無関係なユーザーの大規模なタグ付けなど、詐欺の兆候がないかアラートを常に精査してください。