كشفت حملة تصيد احتيالي واسعة النطاق تستهدف مطوري البرمجيات على منصة GitHub، عن استغلالها لتنبيهات أمنية مزيفة خاصة بـ Visual Studio Code لنشر برمجيات خبيثة. تستخدم هذه الحملة، التي رصدتها شركة Socket.dev، ميزة “مناقشات GitHub” لإرسال رسائل تبدو رسمية وتدعو المستخدمين لتحميل تحديثات وهمية.
تنتحل التنبيهات المزيفة صفة إعلانات أمنية رسمية، محذرة المطورين من ثغرات خطيرة تتطلب تحديثاً فورياً لـ Visual Studio Code. غالباً ما تتضمن هذه المنشورات إشارات إلى أرقام CVE وهمية وتواريخ إصدار قديمة لجعل التحذيرات تبدو أكثر مصداقية.
حملة تصيد احتيالي تستهدف مطوري GitHub
تستغل الحملة الجديدة ميزة “مناقشات GitHub” (GitHub Discussions) للوصول إلى أكبر عدد ممكن من المطورين. يتم نشر آلاف المنشورات المتشابهة تقريباً في مستودعات مختلفة خلال دقائق معدودة، مما يشير إلى عملية آلية ومنظمة.
تتضمن عناوين المنشورات إيحاءات توحي بالخطورة الملحة، مثل “Visual Studio Code – ثغرة أمنية خطيرة – تحديث فوري مطلوب” أو “استغلال حرج – إجراء عاجل مطلوب”. الهدف هو إثارة قلق المطورين ودفعهم للنقر على الروابط المشبوهة.
ومع ذلك، فإن التهديدات الأمنية على GitHub لا تقتصر على هذه الحملة. وبفضل نظام إشعارات GitHub، تصل هذه التنبيهات الوهمية أيضاً إلى صناديق البريد الإلكتروني للمطورين، مما يوسع نطاق وصول الحملة.
آلية الهجوم وتوجيه المستخدمين
يكتشف محللو Socket.dev أن الحملة تستخدم سلسلة من عمليات إعادة التوجيه المتعددة. عند النقر على الرابط، يتم توجيه المستخدم أولاً عبر نقطة نهاية تابعة لجوجل. بعد ذلك، يعتمد المسار على وجود ملف تعريف ارتباط (cookie) لجوجل في متصفح المستخدم.
في حال وجود ملف تعريف الارتباط، يتم توجيه المستخدم مباشرة عبر إعادة توجيه 301 إلى نطاق يتحكم فيه المهاجم، والذي يعمل كخادم قيادة وسيطرة لهذه الحملة. أما في حالة عدم وجود ملف تعريف الارتباط، فيتم عرض صفحة مسح بصمة المتصفح (browser fingerprinting) مباشرة من نقطة نهاية جوجل.
بمجرد وصول المستخدم الحقيقي إلى البنية التحتية للمهاجم، يتم تنفيذ حمولة جافا سكريبت مبهمة على الفور. تقوم هذه الحمولة بجمع معلومات حول متصفح المستخدم، مثل المنطقة الزمنية، اللغة، نظام التشغيل، ومعلومات تشير إلى ما إذا كان الزائر شخصاً حقيقياً أم روبوتاً.
يتم بعد ذلك إرسال جميع البيانات المجمعة بصمت إلى نقطة نهاية المهاجم عبر طلب POST تلقائي، دون الحاجة لأي تفاعل من الضحية. تعمل مرحلة التنميط هذه كطبقة تصفية، لتحديد المستخدمين الحقيقيين قبل توجيههم إلى حمولة لاحقة، مثل صفحة تصيد احتيالي أو مجموعة أدوات استغلال.
التوصيات الأمنية للمطورين
ينصح المطورون بالتعامل بحذر شديد مع أي تنبيهات أمنية غير مرغوب فيها في مناقشات GitHub، خاصة إذا كانت تتضمن روابط تنزيل خارجية، أو إشارات لـ CVE غير قابلة للتحقق، أو تعليمات تثبيت عاجلة، أو علامات للمستخدمين غير المرتبطين، أو محتوى من حسابات تم إنشاؤها حديثاً.
يجب التأكد دائماً من تحديثات Visual Studio Code عبر قنوات Microsoft الرسمية فقط. وينصح بالإبلاغ عن أي مناقشات مشبوهة مباشرة إلى GitHub للمراجعة واتخاذ الإجراءات اللازمة.