概要
開発者を標的とした大規模なフィッシングキャンペーンが、GitHubのディスカッション機能を利用して偽のVisual Studio Code (VS Code) セキュリティ警告を配布しています。このキャンペーンは高度に組織化されており、数千件の類似した投稿が複数のレポジトリで見つかります。
攻撃手法
攻撃者は「Visual Studio Code重大な脆弱性:緊急アップデートが必要」や「深刻なエクスプロイト:緊急対応を」といった警告的なタイトルのディスカッションを作成します。これらの投稿には偽造されたCVE参照番号と影響範囲が含まれ、信憑性を与えています。
被害者への影響
攻撃者はユーザーに「パッチ済み」のVS Codeをダウンロードするよう促し、公式配布チャネルを通じて提供される更新とは異なります。これらのリンクは明らかに危険な兆候であり、ユーザーがマルウェアをインストールしてしまう可能性があります。
GitHub通知システムの悪用
このキャンペーンでは、GitHubのビルトイン通知システムも利用しています。ディスカッションを作成したり、ユーザーをタグ付けすると、GitHubはウォッチャーと参加者にメール通知を送信します。
攻撃フロー
一つのキャンペーンサンプルでは、マルウェア配布前のフィンガープリント収集が行われます。ユーザーがGoogleクッキーを持っている場合、HTTP 301を使用して攻撃者が制御するドメインにリダイレクトされます。
セキュリティ専門家の警告
セキュリティ専門家は開発者に対して、公式チャネルを通じてしかソフトウェアをダウンロードしないように強く推奨しています。また、すべてのセキュリティ警告を信頼できるベンダー経由で確認することも重要です。