Een grootschalige phishingcampagne richt zich momenteel op ontwikkelaars via GitHub. Aanvallers maken misbruik van de Discussions-functionaliteit om nepbeveiligingsmeldingen over Visual Studio Code te verspreiden. Het doel is om gebruikers te verleiden malware te downloaden.
De campagne kenmerkt zich door een grote schaal. Onderzoekers van Socket signaleren dat duizenden vrijwel identieke berichten in korte tijd in verschillende repositories verschijnen, vaak binnen enkele minuten. De berichten zijn afkomstig van nieuw aangemaakte of nauwelijks actieve accounts, wat wijst op een sterk geautomatiseerde aanval. Omdat Discussions meldingen per e-mail versturen naar deelnemers en volgers, bereiken de berichten ontwikkelaars ook buiten het platform. Dit vergroot de geloofwaardigheid en het bereik van de aanval.
De nepberichten doen zich voor als beveiligingsadviezen. Ze gebruiken alarmerende titels waarin wordt gesproken over kwetsbaarheden die direct actie vereisen. Vaak worden verzonnen CVE-identificaties genoemd en specifieke versies van VS Code aangehaald. In veel gevallen doen de aanvallers zich voor als bekende maintainers of securityonderzoekers om extra vertrouwen te wekken. Gebruikers krijgen het dringende advies om een zogenaamd bijgewerkte versie te installeren via een externe downloadlink.
Aanvallers plaatsen deze berichten op grote schaal door discussies te openen in uiteenlopende repositories. Daarbij wordt vrijwel dezelfde tekst gebruikt, soms met kleine variaties. In veel gevallen worden grote aantallen ontwikkelaars tegelijk getagd. Deze aanpak vergroot de zichtbaarheid en creëert druk om snel te handelen.
De kwaadaardige payload wordt niet direct via GitHub verspreid, maar via externe links, vaak naar bestandendiensten zoals Google Drive. Dit wijkt af van de normale distributie van VS Code-extensies, maar doordat de gebruikte diensten vertrouwd zijn, valt dat niet altijd direct op. De links leiden via een omleidingsketen uiteindelijk naar een externe infrastructuur onder controle van de aanvallers.
Aanvallers gebruiken profiling om slachtoffers te selecteren
Uit analyse blijkt dat deze infrastructuur gebruikmaakt van een JavaScript-pagina die bezoekers eerst profileert. Daarbij worden gegevens verzameld zoals tijdzone, browserinformatie, besturingssysteem en signalen die kunnen wijzen op geautomatiseerde analyse. Deze informatie wordt automatisch doorgestuurd naar een command-and-controlserver. De onderzoekers concluderen dat dit mechanisme dient als filterlaag om echte slachtoffers te onderscheiden van bots en beveiligingsonderzoekers.
Opvallend is dat er in deze fase nog geen directe malware of phishingpagina wordt aangeboden en ook geen inloggegevens worden verzameld. In plaats daarvan lijkt de aanval gebruik te maken van een zogenoemd traffic distribution system, waarbij slachtoffers eerst worden geanalyseerd voordat ze naar een volgende stap worden geleid. Die vervolgstap kan bestaan uit een phishingpagina of exploit, maar is nog niet waargenomen.
Het succes van deze campagne is te verklaren door een combinatie van factoren. GitHub wordt door ontwikkelaars gezien als een betrouwbare omgeving, terwijl beveiligingsmeldingen een gevoel van urgentie oproepen. Daarnaast worden Discussions minder streng gecontroleerd dan advisories. Door berichten op grote schaal te herhalen, ontstaat bovendien een schijn van legitimiteit.
Onderzoekers waarschuwen ontwikkelaars om alert te zijn op dit soort berichten. Met name meldingen die externe downloadlinks bevatten, verwijzen naar onbekende kwetsbaarheden of afkomstig zijn van nieuwe accounts verdienen extra controle. Het advies is om beveiligingsclaims altijd te verifiëren via officiële kanalen.
De campagne staat niet op zichzelf. Eerder misbruikten aanvallers het notificatiesysteem van GitHub al voor vergelijkbare aanvallen. In maart 2025 werd een grootschalige phishingcampagne ontdekt waarbij circa 12.000 repositories werden ingezet om ontwikkelaars te verleiden een kwaadaardige OAuth-app te autoriseren. In juni 2024 werd GitHub’s e-mailsysteem misbruikt via spamreacties en pull requests om gebruikers naar phishingpagina’s te sturen.