¿Te etiquetaron en un hilo? Resulta que ahora eso puede ocultar un intento de hackeo
GitHub registra un ataque que usó falsas advertencias de seguridad
A los desarrolladores comenzaron a asustarlos masivamente con "vulnerabilidades críticas" directamente en GitHub, pero detrás de las advertencias alarmantes se oculta un objetivo completamente distinto. Según el informe de Socket, desconocidos envían notificaciones falsas sobre problemas en Visual Studio Code y atraen a los usuarios a sitios maliciosos.
El ataque se desarrolla dentro del propio GitHub. Los atacantes publican discusiones en repositorios presentadas como avisos urgentes de seguridad. Los textos parecen creíbles: "vulnerabilidad crítica", "actualización urgente", "riesgo de seguridad". En los mensajes se mencionan identificadores de vulnerabilidades ficticios y versiones del programa, y luego ofrecen descargar una versión "corregida" del editor desde un enlace externo.
Ya hay miles de estas publicaciones. Aparecen casi al mismo tiempo, a menudo desde cuentas recién creadas. Los autores etiquetan masivamente a desarrolladores en las discusiones para llamar la atención e incluso se hacen pasar por mantenedores de proyectos.
Empeora la situación el mecanismo de notificaciones de GitHub. La plataforma envía correos a colaboradores y suscriptores de repositorios, por lo que las advertencias falsas llegan directamente a los buzones y parecen aún más verosímiles.
Los enlaces en los mensajes conducen a servicios de almacenamiento de terceros, por ejemplo Google Drive, y después redirigen al usuario a un sitio externo controlado por los atacantes. El análisis mostró una cadena de redirecciones con una página intermedia de Google, tras lo cual la víctima es enviada al dominio que controla el ataque.
Es notable que el comportamiento del enlace depende de la presencia de cookies de Google. Si el navegador ya está autenticado, se produce la redirección al sitio malicioso. Si no, se abre una página que recopila información del sistema. Este enfoque ayuda a filtrar comprobaciones automáticas y a centrarse en usuarios "reales".
En la página final funciona un script oculto. Recopila información sobre la zona horaria, el idioma del sistema, la plataforma, el navegador y señales de automatización. Luego los datos se envían discretamente al servidor de los atacantes. El usuario puede no ver ningún archivo malicioso evidente o formulario de inicio de sesión.
Este comportamiento se parece a un sistema de distribución de tráfico. Primero recopilan datos sobre la víctima y luego deciden adónde redirigir: a una página de phishing, a una página con un exploit o a otro tipo de engaño.
El ataque resultó eficaz por una razón simple. GitHub es considerado una plataforma de confianza y los mensajes sobre seguridad obligan a actuar con rapidez sin hacer demasiadas preguntas. Cuando las mismas advertencias aparecen a la vez en distintos repositorios, la confianza solo aumenta.
Se recomienda a los desarrolladores no seguir enlaces desde ese tipo de discusiones y verificar cualquier aviso de vulnerabilidad a través de los canales oficiales de los responsables del software. Las actualizaciones reales de Visual Studio Code nunca se distribuyen mediante enlaces aleatorios en discusiones.