🌐 Contexte
Source : socket.dev, publié le 28 mars 2026. Une campagne de phishing coordonnée et à grande échelle cible les développeurs directement sur la plateforme GitHub, en exploitant la fonctionnalité GitHub Discussions pour diffuser de fausses alertes de sécurité liées à Visual Studio Code.
🎯 Mode opératoire
Les attaquants créent des milliers de GitHub Discussions quasi-identiques imitant des avis de sécurité légitimes, avec des titres tels que :
- “Visual Studio Code – Severe Vulnerability – Immediate Update Required”
- “Critical Exploit – Urgent Action Needed”
Chaque post référence des CVE fabriqués et des plages de versions fictives, et incite les développeurs à télécharger une version “corrigée” via un lien externe. Les publications sont effectuées par des comptes récemment créés ou peu actifs, et taguent massivement des développeurs pour amplifier la portée via le système de notifications email de GitHub.
🔗 Chaîne de redirection et infrastructure
La chaîne d’infection observée est la suivante :
- GitHub Discussion → lien
share.google/... - Endpoint Google : comportement conditionnel selon la présence d’un cookie Google :
- Avec cookie → redirection 301 vers
drnatashachinn[.]com/... - Sans cookie → page de fingerprinting servie directement
- Avec cookie → redirection 301 vers
drnatashachinn[.]comagit comme endpoint C2- Auto-POST des données collectées vers le même endpoint
L’infrastructure utilise un endpoint share.google comme couche de distribution initiale, routant la majorité des utilisateurs réels (possédant des cookies Google) vers le domaine contrôlé par l’attaquant.
🕵️ Fingerprinting et évasion
Le payload JavaScript obfusqué collecte :
- Fuseau horaire et locale
- Plateforme et user-agent
- User-agent secondaire via iframe cachée
- Signaux d’automatisation (
navigator.webdriver) - Valeur du hash URL (tracking de campagne)
Techniques d’évasion identifiées :
- Obfuscation par array-shuffling et reconstruction de chaînes
- Vérification via iframe cachée pour détecter les environnements spoofés
- Soumission automatique du formulaire sans interaction utilisateur
- Filtre CSS subtil (
hue-rotate) comme marqueur anti-détection
⚠️ Comportement TDS
Le script ne capture pas de credentials ni ne livre de payload visible en second stage. Il agit comme un système de distribution de trafic (TDS), profilant les victimes avant de les router vers une charge utile ultérieure (page de phishing, exploit kit ou scam).
📋 Type d’article
Il s’agit d’une analyse technique publiée par socket.dev, visant à documenter et exposer une campagne de phishing active ciblant les développeurs via GitHub, avec décomposition de la chaîne d’infection et du payload JavaScript.
🧠 TTPs et IOCs détectés
TTP
- T1566.002 — Phishing: Spearphishing Link (Initial Access)
- T1608.004 — Stage Capabilities: Drive-by Target (Resource Development)
- T1036 — Masquerading (Defense Evasion)
- T1027 — Obfuscated Files or Information (Defense Evasion)
- T1497 — Virtualization/Sandbox Evasion (Defense Evasion)
- T1592 — Gather Victim Host Information (Reconnaissance)
- T1189 — Drive-by Compromise (Initial Access)
- T1102 — Web Service (Command and Control)
IOC
- Domaines :
drnatashachinn.com
Malware / Outils
- JavaScript Fingerprinting Page (other)
🔗 Source originale : https://socket.dev/blog/widespread-github-campaign-uses-fake-vs-code-security-alerts-to-deliver-malware