Desenvolvedores estão sendo alertados sobre uma campanha em larga escala que explora o recurso de Discussões do **GitHub** para espalhar malware. O ataque envolve a postagem de falsos alertas de segurança do **VS Code**, disfarçados de avisos de vulnerabilidade genuínos, para enganar os usuários a baixar software malicioso. ### Iscas Realistas e Impersonação As postagens enganosas frequentemente apresentam títulos realistas como “Vulnerabilidade Severa - Atualização Imediata Necessária” e podem incluir IDs de **CVE** fabricados para criar um senso de urgência. Em muitos casos, os atores de ameaça se passam por mantenedores de código legítimos ou pesquisadores de segurança para aumentar a credibilidade. A **Socket**, uma empresa de segurança de aplicações, caracterizou essa atividade como uma operação bem organizada e em larga escala, em vez de um ataque com alvo restrito. As discussões são postadas rapidamente a partir de contas recém-criadas ou com pouca atividade em milhares de repositórios, acionando notificações por e-mail para um grande número de usuários marcados e seguidores.  *Fonte: Socket* "As primeiras buscas mostram milhares de postagens quase idênticas em repositórios, indicando que este não é um incidente isolado, mas uma campanha de spam coordenada", afirmaram os pesquisadores da **Socket** em seu relatório. "Como as Discussões do **GitHub** acionam notificações por e-mail para participantes e observadores, essas postagens também são entregues diretamente nas caixas de entrada dos desenvolvedores." ### Links Maliciosos e Redirecionamento As postagens incluem links para supostas versões corrigidas das extensões afetadas do **VS Code**, hospedadas em serviços externos como o **Google Drive**. Embora o **Google Drive** seja um serviço confiável, ele não é o canal de distribuição oficial para extensões do **VS Code**, e usuários agindo rapidamente podem ignorar esse sinal de alerta.  *Fonte: Socket* Clicar no link do **Google** inicia uma cadeia de redirecionamento baseada em cookies, levando as vítimas a `drnatashachinn[.]com`, que executa um script de reconhecimento em **JavaScript**. Este script coleta o fuso horário, local, user agent, detalhes do sistema operacional e indicadores de automação da vítima. Os dados coletados são então enviados ao servidor de comando e controle via requisição **POST**.  *Fonte: Socket* ### Sistema de Distribuição de Tráfego (TDS) Esta etapa atua como uma camada de filtragem de sistema de distribuição de tráfego (**TDS**), perfilando alvos para filtrar bots e pesquisadores, e entregando o payload de segundo estágio apenas a vítimas validadas. Embora a **Socket** não tenha capturado o payload de segundo estágio, eles observaram que o script **JS** não o entrega diretamente nem tenta capturar credenciais. ### Incidentes Anteriores Esta não é a primeira vez que atacantes utilizam os sistemas de notificação do **GitHub** para fins maliciosos. Em março de 2025, uma campanha de phishing generalizada visou 12.000 repositórios do **GitHub** com alertas de segurança falsos, enganando desenvolvedores para autorizar um aplicativo **OAuth** malicioso. Em junho de 2024, atores de ameaça abusaram do sistema de e-mail do **GitHub** via comentários de spam e pull requests, direcionando alvos para páginas de phishing. ### Aconselhamento de Mitigação Ao encontrar alertas de segurança, os usuários devem verificar os identificadores de vulnerabilidade em fontes autoritativas, como o **National Vulnerability Database (NVD)**, o catálogo de Vulnerabilidades Exploradas Conhecidas da **CISA**, ou o site do programa **Common Vulnerabilities and Exposures (CVE)** da **MITRE**. Sempre analise os alertas em busca de sinais de fraude, como links de download externos, **CVE**s não verificáveis e marcação em massa de usuários não relacionados, antes de tomar qualquer ação.