Die Tarnung der Kampagne setzt auf bekannte Muster aus echten Sicherheitsmeldungen: dringliche Sprache, erfundene CVE-Nummern und die vorgetäuschte Identität realer Maintainer oder Forscher. Nach Angaben des Sicherheitsunternehmens Socket fanden bereits erste Recherchen Tausende nahezu identische Beiträge über zahlreiche Repositories hinweg. Das deute auf eine koordinierte Spam-Kampagne und keinen Einzelfall hin.

„Weil GitHub Discussions E-Mail-Benachrichtigungen für Teilnehmer und Beobachter auslösen, werden diese Beiträge auch direkt in die Postfächer der Entwickler zugestellt", erklären die Forscher von Socket in einem in dieser Woche veröffentlichten Bericht.

Die Beiträge verweisen auf angeblich gepatchte Versionen der betroffenen VS-Code-Erweiterungen, die auf externen Diensten wie Google Drive liegen. Zwar ist Google Drive offensichtlich kein offizieller Vertriebsweg für eine VS-Code-Erweiterung, doch als vertrauenswürdiger Dienst kann er übereilt handelnde Nutzer über das Warnsignal hinwegtäuschen.

Ein Klick auf den Google-Link löst laut Socket eine cookie-gesteuerte Weiterleitungskette aus, die die Opfer auf die Domain drnatashachinn[.]com führt. Dort läuft ein JavaScript-Aufklärungsskript, das Zeitzone, Spracheinstellung, User-Agent und Betriebssystemdetails des Opfers sammelt und auf Anzeichen von Automatisierung prüft. Die Daten werden gebündelt und per POST-Anfrage an den Command-and-Control-Server geschickt.

Dieser Schritt dient als Filterebene eines Traffic-Distribution-Systems (TDS): Er profiliert die Ziele, sortiert Bots und Forscher aus und liefert die zweite Stufe nur an bestätigte Opfer aus. Socket konnte die zweite Stufe nicht erfassen, weist aber darauf hin, dass das JavaScript-Skript sie weder direkt ausliefert noch versucht, Zugangsdaten abzugreifen.

Es ist nicht das erste Mal, dass Angreifer legitime Benachrichtigungssysteme von GitHub für die Verbreitung von Phishing und Malware missbrauchen. Im März 2025 zielte eine breit angelegte Phishing-Kampagne auf 12.000 GitHub-Repositories mit gefälschten Sicherheitswarnungen, die Entwickler zur Autorisierung einer schädlichen OAuth-App bewegen sollten, über die Angreifer Zugriff auf deren Konten erhielten. Im Juni 2024 lösten Täter über Spam-Kommentare und Pull Requests das E-Mail-System von GitHub aus, um Ziele auf Phishing-Seiten zu lenken.

Bei Sicherheitswarnungen empfiehlt Socket, Schwachstellen-Kennungen in maßgeblichen Quellen zu überprüfen, etwa in der National Vulnerability Database (NVD), im Katalog bekannter ausgenutzter Schwachstellen der CISA oder auf der Website des CVE-Programms von MITRE. Als Betrugsmerkmale gelten externe Download-Links, nicht überprüfbare CVEs und das massenhafte Markieren themenfremder Nutzer.