Szervezett támadássorozat, gépesített spamek
Nem hagyható figyelmen kívül, hogy a csaló bejegyzések néhány perc alatt, automatizált fiókok segítségével, több ezer GitHub-tárolóban jelennek meg, és tömegesen érkeznek értesítésként a fejlesztők postafiókjába. A hivatkozások látszólag javított VS Code-bővítményekre mutatnak, de valójában olyan külső szolgáltatók, például a Google Drive oldalaira vezetnek, amelyek távol állnak a hivatalos terjesztési csatornáktól. Az elhamarkodott fejlesztők azonban gyakran figyelmen kívül hagyják ezt a figyelmeztető jelet.
Adatgyűjtés, célzott fertőzés
A hivatkozásra kattintva az áldozat egy rejtett átirányítási lánc részeként egy drnatashachinn.com nevű weboldalra jut, ahol egy JavaScript-felderítőszkript indul el. Ez begyűjti a felhasználó böngészőjének nyelvét, időzónáját, a használt operációs rendszert és az automatizálással kapcsolatos adatokat, amelyek visszajutnak a támadókhoz. Ezek alapján egy szűrőrendszer eldönti, ki kap további, már kártékonyabb komponenseket. A második fertőzési hullám részletei még nem ismertek, de a szakértők szerint a mostani JavaScript-kód nem szerzi meg közvetlenül a hozzáférési adatokat, csak előkészíti a terepet.
Mit tehetsz, ha riasztást kapsz?
Ennek ellenére nem ez az első alkalom, hogy a GitHub értesítési rendszerét csalók veszik célba. Korábban is használták már az üzenetküldést adathalász vagy rosszindulatú alkalmazások terjesztésére. Ha biztonsági figyelmeztetést kapsz, mindig ellenőrizd a sérülékenység-azonosítót a hivatalos adatbázisokban – például az NVD, a CISA vagy a MITRE oldalán. Szánj rá egy percet, hogy meggyőződj róla, valódi-e a riasztás, és gyanakodj, ha külső letöltési hivatkozást, hamisan azonosított CVE-t vagy tömegesen megcímzett, nem kapcsolódó felhasználókat találsz.
