(https://www.bleepstatic.com/content/hl-images/2024/06/06/GitHub.jpg)
Una campaña a gran escala está atacando a desarrolladores en GitHub con falsas alertas de seguridad de Visual Studio Code (VS Code) publicadas en la sección de Discusiones de varios proyectos, con el objetivo de engañar a los usuarios para que descarguen malware.
Estas publicaciones fraudulentas se presentan como avisos de vulnerabilidad y utilizan títulos realistas como "Vulnerabilidad grave: actualización inmediata requerida", incluyendo a menudo identificadores CVE falsos y un lenguaje urgente.
En muchos casos, el atacante se hace pasar por mantenedores de código o investigadores reales para generar una falsa sensación de legitimidad.
La empresa de seguridad de aplicaciones Socket afirma que esta actividad parece formar parte de una operación a gran escala bien organizada, en lugar de un ataque oportunista y dirigido a un público específico.
Las discusiones se publican automáticamente desde cuentas recién creadas o con poca actividad en miles de repositorios en cuestión de minutos, y activan notificaciones por correo electrónico a un gran número de usuarios etiquetados y seguidores.
Alertas de seguridad falsas en GitHub Discussions
(https://www.bleepstatic.com/images/news/u/1220909/2026/March/discussions.jpg)
«Las búsquedas preliminares revelan miles de publicaciones casi idénticas distribuidas en diversos repositorios, lo que indica que no se trata de un incidente aislado, sino de una campaña de spam coordinada», afirman los investigadores de Socket en un informe publicado esta semana.
«Dado que las "GitHub Discussions" generan notificaciones por correo electrónico para los participantes y los observadores, estas publicaciones llegan también directamente a las bandejas de entrada de los desarrolladores».
Las publicaciones incluyen enlaces a versiones supuestamente parcheadas de las extensiones de VS Code afectadas, alojadas en servicios externos como Google Drive.
Ejemplo de la falsa alerta de seguridad
(https://www.bleepstatic.com/images/news/u/1220909/2026/March/vscode.jpg)
Aunque Google Drive obviamente no es el canal de distribución oficial de software para una extensión de VS Code, es un servicio de confianza, y los usuarios que actúan con precipitación podrían pasar por alto la señal de alerta.
Al hacer clic en el enlace de Google, se activa una cadena de redireccionamiento basada en cookies que lleva a las víctimas a drnatashachinn[.]com, donde se ejecuta un script de reconocimiento JavaScript.
Este script recopila la zona horaria, la configuración regional, el agente de usuario, los detalles del sistema operativo e indicadores de automatización de la víctima. Los datos se empaquetan y se envían al centro de comando y control mediante una solicitud POST.
Carga útil JS desofuscada
(https://www.bleepstatic.com/images/news/u/1220909/2026/March/jspayload.jpg)
Este paso funciona como una capa de filtrado del sistema de distribución de tráfico (TDS), que perfila los objetivos para desviar bots e investigadores, y entrega la segunda etapa solo a las víctimas validadas.
Socket no capturó la carga útil de la segunda etapa, pero se observó que el script JS no la entrega directamente ni intenta capturar credenciales.
Esta no es la primera vez que los ciberdelincuentes abusan de los sistemas legítimos de notificación de GitHub para distribuir phishing y malware.
En marzo de 2025, una campaña de phishing generalizada afectó a 12 000 repositorios de GitHub con alertas de seguridad falsas diseñadas para engañar a los desarrolladores y lograr que autorizaran una aplicación OAuth maliciosa que otorgaba a los atacantes acceso a sus cuentas.
En junio de 2024, los ciberdelincuentes activaron el sistema de correo electrónico de GitHub mediante comentarios de spam y solicitudes de extracción enviadas a los repositorios, para redirigir a las víctimas a páginas de phishing.
Ante las alertas de seguridad, se recomienda a los usuarios verificar los identificadores de vulnerabilidades en fuentes autorizadas, como la Base de Datos Nacional de Vulnerabilidades (NVD), el catálogo de Vulnerabilidades Explotadas Conocidas de CISA o el sitio web del programa de Vulnerabilidades y Exposiciones Comunes (CVE) de MITRE.
Antes de actuar, tómese un momento para considerar su legitimidad y esté atento a posibles fraudes, como enlaces de descarga externos, CVE no verificables y el etiquetado masivo de usuarios no relacionados.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/fake-vs-code-alerts-on-github-spread-malware-to-developers/