Die Bedrohung für Entwickler-Communities wächst: Wie das Sicherheitsunternehmen Socket in dieser Woche berichtet, werden derzeit Tausende von gefälschten Sicherheitswarnungen in GitHub Discussions verbreitet. Die Posts ahmen legitime Vulnerability-Advisories nach und verwenden realistisch klingende Titel wie “Schwerwiegende Sicherheitslücke — sofortige Aktualisierung erforderlich”. Um Glaubwürdigkeit zu schaffen, geben sich die Angreifer als bekannte Code-Maintainer oder Sicherheitsforscher aus.
Das Ausmaß der Operation ist beeindruckend: Aus neu erstellten oder inaktiven Accounts werden automatisiert Tausende quasi-identischer Posts über mehrere Repositories hinweg verbreitet — alles innerhalb weniger Minuten. Da GitHub Discussions automatisch Benachrichtigungen an Teilnehmer und Beobachter verschickt, landen die schädlichen Links direkt in den Inboxen der Entwickler. Dies erhöht die Erfolgschance erheblich, da die Ansprache unmittelbar und scheinbar vertrauenswürdig wirkt.
Die angeblich aktualisierten VS-Code-Extensions sind nicht auf offiziellen Kanälen zu finden, sondern auf Google Drive gehostet. Genau hier liegt die Tücke: Google Drive ist zwar ein legitimer und vertrauenswürdiger Dienst, was viele eilige Entwickler beruhigt — doch als Software-Verteilungskanal für Extensions ist es äußerst verdächtig.
Wer auf den Link klickt, wird durch eine Cookie-basierte Weiterleitungskette auf die Domain drnatashachinn[.]com geführt. Dort lädt sich ein JavaScript-Skript aus, das systematisch Daten sammelt: Zeitzone, Spracheinstellungen, User-Agent, Betriebssystemdetails und Indikatoren für Automatisierung. Diese Informationen werden an einen Command-and-Control-Server übermittelt.
Das Skript fungiert als sogenannter Traffic Distribution System (TDS) und filtert zwischen legitimen Opfern und Sicherheitsforschern oder Bot-Erkennungssystemen. Erst nach dieser Validierung wird die zweite Malware-Stufe ausgeliefert.
Socket konnte die zweite Stufe nicht abfangen, merkt aber an, dass das JavaScript-Skript keine Zugangsdaten stiehlt — was auf einen ausgefeilteren Angriffsvektor hindeutet.
Dies ist nicht das erste Mal, dass Kriminelle GitHubs Benachrichtigungssystem missbrauchen. Im März 2025 zielten ähnliche Phishing-Kampagnen auf 12.000 Repositories ab, mit gefälschten Security-Alerts, die zu einer schädlichen OAuth-App führten. Im Juni 2024 wurden Spam-Kommentare und Pull-Requests für Phishing-Weiterleitungen genutzt.
Experten raten Entwicklern: CVE-IDs immer in autorisierten Quellen wie der National Vulnerability Database (NVD), der CISA-Datenbank oder MITRE überprüfen. Externe Download-Links, unverifizierbare CVE-Nummern und Massen-Tagging sind klassische Warnsignale für Betrug.