Malware in piena vista: falsi avvisi di VS Code inondano GitHub, prendendo di mira gli sviluppatori

Tutto è iniziato con un’email urgente: “Vulnerabilità grave – aggiornamento immediato richiesto”. Per migliaia di sviluppatori, questo avviso sembrava ufficiale, con un tono familiare e persino riferimenti a quelli che parevano veri ID di vulnerabilità. Ma sotto la superficie si stava svolgendo una truffa sofisticata - una truffa che faceva leva non solo sul codice, ma sulla fiducia stessa.

L’attacco, scoperto dalla società di sicurezza applicativa Socket, colpisce sia per la scala sia per la sua sottigliezza. Invece di spam grossolano o phishing evidente, questi post compaiono nella sezione Discussions di migliaia di progetti GitHub. Gli attaccanti, spesso usando account appena creati o inattivi, imitano le voci di veri maintainer o di ricercatori noti, conferendo ai messaggi un’aura di credibilità di cui molti sviluppatori si fidano implicitamente.

Lo stratagemma è semplice ma efficace: i post avvertono di una pericolosa vulnerabilità in una popolare estensione di Visual Studio Code (VS Code) e invitano gli sviluppatori a scaricare una versione “corretta”. Il problema? Il link di download non punta a un repository ufficiale, ma a un servizio esterno come Google Drive - una scelta insolita, ma che beneficia della fiducia degli utenti nell’infrastruttura di Google. Nella fretta di risolvere una presunta falla di sicurezza, molti non colgono questo campanello d’allarme cruciale.

È cliccando sul link che inizia il vero pericolo. Le vittime vengono instradate attraverso una catena di reindirizzamenti, fino ad approdare su un sito che esegue silenziosamente un payload di ricognizione in JavaScript. Questo script raccoglie informazioni dettagliate sull’ambiente dell’utente - fuso orario, sistema operativo, browser e altro - e le invia al centro di comando degli attaccanti. Solo dopo questa fase di profilazione i bersagli più promettenti ricevono lo stadio successivo dell’attacco, i cui dettagli restano misteriosi ma probabilmente includono malware o furto di credenziali.

Non è la prima volta che il sistema di notifiche di GitHub viene trasformato in un’arma. Campagne precedenti hanno usato tattiche simili, inviando email di massa tramite commenti o pull request per indirizzare gli utenti verso app OAuth malevole o pagine di phishing. Il filo conduttore: gli attaccanti sfruttano proprio i sistemi progettati per mantenere gli sviluppatori informati e al sicuro.

Gli esperti invitano alla cautela. Gli sviluppatori dovrebbero sempre verificare gli avvisi di sicurezza confrontandoli con fonti affidabili come il National Vulnerability Database o gli elenchi CVE di MITRE, e diffidare di qualsiasi advisory che chieda di scaricare patch da posizioni non ufficiali. La posta in gioco è alta; in un mondo in cui il codice è valuta, il confine tra notifica affidabile e inganno malevolo non è mai stato così sottile.

Man mano che il campo di battaglia digitale evolve, evolvono anche le tattiche di chi cerca di comprometterlo. Per gli sviluppatori, la vigilanza non è più facoltativa - è essenziale. Il prossimo avviso urgente nella tua casella di posta potrebbe non essere un avvertimento. Potrebbe essere l’attacco stesso.

WIKICROOK

• GitHub Discussions: GitHub Discussions è un forum nei repository in cui gli utenti possono fare domande, condividere feedback e discutere argomenti, migliorando la collaborazione e il supporto della community.
• CVE (Common Vulnerabilities and Exposures): Un CVE è un identificatore pubblico univoco per una specifica vulnerabilità di sicurezza, che consente un tracciamento e una discussione coerenti in tutto il settore della cybersecurity.
• Script di ricognizione: Uno script di ricognizione automatizza la raccolta di informazioni su sistemi o utenti, spesso utilizzato da attaccanti o tester di sicurezza nelle fasi iniziali delle operazioni informatiche.
• Traffic Distribution System (TDS): Un Traffic Distribution System (TDS) reindirizza gli utenti web verso siti diversi, spesso usato dai criminali informatici per inviare le vittime a contenuti malevoli o fraudolenti.
• Comando: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.