【安全资讯】GitHub上出现伪装VS Code安全警报的恶意软件分发活动

概要：

在软件开发社区中，GitHub作为核心协作平台，其安全性至关重要。近期，一场大规模的网络攻击活动正利用GitHub Discussions功能，通过伪装成Visual Studio Code（VS Code）扩展的紧急安全警报，向全球开发者传播恶意软件。这种利用开发者信任和紧急响应心理的攻击手段，凸显了软件供应链安全面临的新挑战。

主要内容：

攻击者创建了大量新账户或低活跃度账户，在数千个代码仓库的Discussions板块中自动发布虚假的安全警报。这些帖子伪装成漏洞公告，使用“严重漏洞 - 需立即更新”等逼真标题，并包含伪造的CVE编号和紧迫性语言，甚至冒充真实的代码维护者或研究人员以增加可信度。由于GitHub Discussions会向参与者和关注者发送邮件通知，这些恶意帖子得以直接涌入开发者的收件箱。

帖子中包含指向所谓“已修复”VS Code扩展版本的链接，这些链接托管在Google Drive等外部服务上。尽管Google Drive并非官方软件分发渠道，但其作为可信服务，容易让匆忙行事的用户忽略这一危险信号。点击链接会触发一个由Cookie驱动的重定向链，最终将受害者引导至恶意域名d rnatashachinn[.]com。

该域名运行一个JavaScript侦察脚本，作为流量分发系统的过滤层。该脚本会收集受害者的时区、语言环境、用户代理、操作系统详情以及自动化操作指标等数据，并通过POST请求打包发送至命令与控制服务器。此步骤旨在对目标进行画像，过滤掉安全研究人员和自动化程序，仅向经过“验证”的受害者推送第二阶段的恶意载荷。目前，安全研究人员尚未捕获到第二阶段的有效载荷。

此次事件并非首次滥用GitHub通知系统进行攻击。早在2024年6月和2025年3月，就发生过利用垃圾评论、拉取请求或恶意OAuth应用进行的大规模网络钓鱼活动。安全专家建议，面对安全警报时，开发者应通过国家漏洞数据库等权威渠道核实漏洞信息，谨慎对待外部下载链接、无法验证的CVE编号以及大规模标记无关用户等欺诈迹象，避免因匆忙行动而落入陷阱。