Pas op voor valse VS Code-updates in uw GitHub-notificaties
Ontwikkelaars op GitHub zijn het doelwit van een omvangrijke en geraffineerde phishing-campagne. Aanvallers maken misbruik van de 'Discussions'-functie om nep-beveiligingswaarschuwingen over Visual Studio Code (VS Code) te verspreiden. De berichten sporen gebruikers aan om met spoed een "kritieke update" te installeren, die in werkelijkheid schadelijke software bevat.
De campagne, die op 25 maart 2026 aan het licht kwam, valt op door zijn enorme schaal. Duizenden vrijwel identieke berichten duiken op in talloze repositories. De koppen variëren van "Severe Vulnerability – Immediate Update Required" tot "Critical Exploit – Urgent Action Needed". Omdat GitHub bij nieuwe discussies automatisch e-mailnotificaties stuurt naar volgers van een project, belanden deze valse waarschuwingen rechtstreeks in de inbox van tienduizenden ontwikkelaars.
Hoe de aanval werkt
De aanvallers maken gebruik van de vertrouwde omgeving van GitHub om urgentie te creëren. In de berichten wordt verwezen naar gefantaseerde kwetsbaarheden (CVE's) en wordt een link gedeeld naar een externe downloadlocatie, vaak op Google Drive.
Beveiligingsonderzoekers van Socket die de payload analyseerden, ontdekten een vernuftig systeem:
Redirect-keten: De link leidt via een Google-endpoint naar een door de aanvallers beheerd domein.
Fingerprinting: Zodra een gebruiker op de pagina belandt, voert een onzichtbaar JavaScript-script direct een 'fingerprint' uit van de browser. Het verzamelt gegevens over de tijdzone, het besturingssysteem en of de gebruiker automatiseringstools (zoals bots) gebruikt.
Filtering: Dit systeem fungeert als een filter. Alleen echte gebruikers worden doorgeleid naar de volgende fase van de aanval, terwijl bots en beveiligingsscanners worden geweerd om detectie te voorkomen.
Waarom dit gevaarlijk is
De kracht van deze aanval zit in de psychologie. Ontwikkelaars zijn getraind om alert te zijn op beveiligingslekken. Door legitieme beheerders te imiteren en massaal gebruikers te 'taggen' in discussies, hopen de aanvallers dat slachtoffers hun waakzaamheid verliezen.
Legitieme updates voor Visual Studio Code worden echter nooit via losse links in GitHub Discussions of via Google Drive verspreid. Updates verlopen altijd via de officiële app of de website van Microsoft.
Wat te doen?
Beveiligingsexperts adviseren ontwikkelaars om extreem voorzichtig te zijn met ongevraagde waarschuwingen op GitHub. Belangrijke alarmsignalen zijn:
Externe downloadlinks naar bestandsdeeldiensten.
Berichten van onbekende accounts of accounts die pas net zijn aangemaakt.
Massale tagging van gebruikers die niet direct bij het project betrokken zijn.
GitHub is inmiddels begonnen met het verwijderen van de malafide discussies, maar de aanvallers blijven nieuwe accounts aanmaken om de campagne voort te zetten. Ontwikkelaars wordt geadviseerd om beveiligingsclaims altijd te verifiëren via officiële kanalen van Microsoft of vertrouwde security-databases.
Over Witold Kepinski
