Вас отметили в обсуждении? Оказывается, теперь за этим кроется попытка взлома

Разработчиков начали массово пугать «критическими уязвимостями» прямо на GitHub, но за тревожными предупреждениями скрывается совсем другая цель. Согласно отчету Socket, неизвестные рассылают поддельные уведомления о проблемах в Visual Studio Code и заманивают пользователей на вредоносные сайты.

Атака разворачивается внутри самого GitHub. Злоумышленники публикуют обсуждения в репозиториях, оформленные как срочные уведомления о безопасности. Тексты выглядят убедительно: «критическая уязвимость», «срочное обновление», «угроза безопасности». В сообщениях упоминаются вымышленные идентификаторы уязвимостей и версии программы, а затем предлагают скачать «исправленную» версию редактора по внешней ссылке.

Таких публикаций уже тысячи. Они появляются почти одновременно, часто от недавно созданных аккаунтов. Авторы массово отмечают разработчиков в обсуждениях, чтобы привлечь внимание, и даже выдают себя за сопровождающих проектов.

Ситуацию ухудшает механизм уведомлений GitHub. Платформа рассылает письма участникам и подписчикам репозиториев, поэтому фальшивые предупреждения попадают прямо в почтовые ящики и выглядят ещё правдоподобнее.

Ссылки в сообщениях ведут на сторонние сервисы хранения файлов, например Google Диск, а затем перенаправляют пользователя на внешний сайт, подконтрольный злоумышленникам. Анализ показал цепочку переходов с промежуточной страницей Google, после чего жертву отправляют на домен управления атакой.

Примечательно, что поведение ссылки зависит от наличия кук Google. Если браузер уже авторизован, происходит перенаправление на вредоносный сайт. Если нет, открывается страница, которая собирает данные о системе. Такой подход помогает отсеивать автоматические проверки и оставлять «живых» пользователей.

На финальной странице работает скрытый скрипт. Он собирает информацию о часовом поясе, языке системы, платформе, браузере и признаках автоматизации. Затем данные незаметно отправляются на сервер злоумышленников. Никакого явного вредоносного файла или формы входа пользователь может и не увидеть.

Такое поведение похоже на систему распределения трафика. Сначала собирают данные о жертве, а уже потом решают, куда перенаправить дальше: на фишинговую страницу, страницу с эксплойтом или другую схему обмана.

Атака оказалась эффективной по простой причине. GitHub считается надёжной площадкой, а сообщения о безопасности заставляют действовать быстро и не задавать лишних вопросов. Когда одинаковые предупреждения появляются сразу в разных репозиториях, доверие только усиливается.

Разработчикам советуют не переходить по ссылкам из подобных обсуждений и проверять любые сообщения об уязвимостях через официальные каналы разработчиков программ. Настоящие обновления для Visual Studio Code никогда не распространяются через случайные ссылки в обсуждениях.