-
09/04/2020
-
128
-
1.747 bài viết
Cảnh báo: Chiến dịch lừa đảo quy mô lớn nhắm vào lập trình viên trên GitHub
Một chiến dịch tấn công mạng diện rộng đang lợi dụng tính năng Discussions của GitHub để phát tán mã độc thông qua các thông báo bảo mật giả mạo liên quan đến Visual Studio Code (VS Code). Bằng cách khai thác tâm lý lo ngại trước các lỗ hổng bảo mật và sự tin tưởng vào nền tảng, kẻ tấn công dẫn dụ các nhà phát triển tải về những bản vá “ma” được ngụy trang như cập nhật khẩn cấp.
Thay vì phát tán rải rác, chiến dịch được triển khai theo hướng tự động hóa với quy mô lớn. Kẻ tấn công tạo hàng loạt tài khoản mới hoặc tận dụng các tài khoản ít hoạt động, sau đó đồng loạt đăng nội dung lên mục Discussions của hàng nghìn repository chỉ trong vài phút. Cách triển khai này giúp chiến dịch lan rộng nhanh và khó kiểm soát ngay từ đầu.
Các bài đăng được dàn dựng giống thông báo bảo mật quen thuộc mà lập trình viên thường gặp. Tiêu đề mang tính thúc ép như “Severe Vulnerability - Immediate Update Required”, đi kèm các mã CVE không có thật nhằm tăng độ tin cậy. Trong nhiều trường hợp, kẻ tấn công còn mạo danh maintainer dự án hoặc chuyên gia bảo mật, khiến nội dung trở nên thuyết phục hơn đối với người đọc.
Cảnh báo bảo mật giả mạo trên diễn đàn GitHub Discussions
Nguồn: Socket
Điểm nguy hiểm nằm ở cơ chế thông báo của GitHub. Ngay khi một Discussion được tạo, hệ thống sẽ tự động gửi email đến những người theo dõi repository hoặc bị gắn thẻ trong bài viết. Điều này vô tình biến các bài đăng giả mạo thành một kênh phát tán trực tiếp, đưa nội dung lừa đảo đến thẳng hộp thư của nạn nhân mà không cần qua bước trung gian.
Theo Socket, đây là một chiến dịch được tổ chức bài bản với dấu hiệu rõ ràng của tự động hóa. Việc xuất hiện hàng loạt bài đăng có nội dung gần như giống nhau trên nhiều dự án cho thấy đây không phải hoạt động đơn lẻ mà là một chiến dịch spam có chủ đích.
Các bài đăng thường dẫn người dùng tới những “bản vá” hoặc extension VS Code đã được sửa lỗi, được lưu trữ trên các nền tảng như Google Drive. Dù đây không phải kênh phân phối chính thức, nhưng vì là dịch vụ quen thuộc nên nhiều người dễ mất cảnh giác, đặc biệt khi đang xử lý một cảnh báo có vẻ cấp bách.
Theo Socket, đây là một chiến dịch được tổ chức bài bản với dấu hiệu rõ ràng của tự động hóa. Việc xuất hiện hàng loạt bài đăng có nội dung gần như giống nhau trên nhiều dự án cho thấy đây không phải hoạt động đơn lẻ mà là một chiến dịch spam có chủ đích.
Các bài đăng thường dẫn người dùng tới những “bản vá” hoặc extension VS Code đã được sửa lỗi, được lưu trữ trên các nền tảng như Google Drive. Dù đây không phải kênh phân phối chính thức, nhưng vì là dịch vụ quen thuộc nên nhiều người dễ mất cảnh giác, đặc biệt khi đang xử lý một cảnh báo có vẻ cấp bách.
Ví dụ về cảnh báo bảo mật giả mạo
Nguồn: Socket
Khi người dùng nhấp vào liên kết, họ sẽ bị chuyển hướng qua nhiều bước dựa trên cookie trước khi được đưa tới một domain trung gian có tên drnatashachinn[.]com. Tại đây, một đoạn JavaScript được triển khai để thu thập thông tin hệ thống như múi giờ, ngôn ngữ, user agent, hệ điều hành và dấu hiệu nhận diện bot. Dữ liệu sau đó được gửi về máy chủ điều khiển để phục vụ quá trình phân loại mục tiêu.
Mã JavaScript đã được giải mã.
Nguồn: Socket
Cơ chế này hoạt động như một lớp lọc trong hệ thống phân phối lưu lượng (TDS), giúp kẻ tấn công loại bỏ bot hoặc môi trường phân tích, đồng thời chỉ chuyển sang giai đoạn tiếp theo với những nạn nhân phù hợp. Dù chưa ghi nhận payload ở bước sau, cách tổ chức nhiều lớp cho thấy chiến dịch được kiểm soát chặt chẽ và có khả năng mở rộng linh hoạt.
Đây không phải lần đầu tiên hệ thống thông báo của GitHub bị lạm dụng. Trước đó, vào tháng 3/2025, một chiến dịch tương tự đã tấn công 12.000 kho mã nguồn để lừa người dùng cấp quyền cho các ứng dụng OAuth độc hại. Xa hơn nữa, vào giữa năm 2024, tin tặc cũng đã lợi dụng tính năng Comment và Pull Request Spam để gửi thư rác chứa liên kết lừa đảo.
Trước các cảnh báo bảo mật xuất hiện trên GitHub, người dùng cần giữ nguyên tắc kiểm chứng trước khi hành động, đặc biệt với những nội dung mang tính khẩn cấp. Một số biện pháp nên được ưu tiên:
Đây không phải lần đầu tiên hệ thống thông báo của GitHub bị lạm dụng. Trước đó, vào tháng 3/2025, một chiến dịch tương tự đã tấn công 12.000 kho mã nguồn để lừa người dùng cấp quyền cho các ứng dụng OAuth độc hại. Xa hơn nữa, vào giữa năm 2024, tin tặc cũng đã lợi dụng tính năng Comment và Pull Request Spam để gửi thư rác chứa liên kết lừa đảo.
Trước các cảnh báo bảo mật xuất hiện trên GitHub, người dùng cần giữ nguyên tắc kiểm chứng trước khi hành động, đặc biệt với những nội dung mang tính khẩn cấp. Một số biện pháp nên được ưu tiên:
- Xác thực mã CVE: Kiểm tra định danh lỗ hổng trên các nguồn chính thống như National Vulnerability Database hoặc MITRE để đảm bảo thông tin là có thật.
- Kiểm tra nguồn phát hành: Các bản cập nhật của Visual Studio Code chỉ được phân phối qua kênh chính thức của Microsoft, không xuất hiện dưới dạng liên kết tải tệp từ dịch vụ lưu trữ cá nhân.
- Nhận diện dấu hiệu spam: Những bài đăng có hiện tượng gắn thẻ hàng loạt người dùng không liên quan thường là dấu hiệu của chiến dịch phát tán diện rộng.
Trước khi thực hiện bất kỳ thao tác cập nhật nào từ các thông báo trên GitHub, việc dành thêm vài phút để xác minh nguồn tin có thể giúp tránh được rủi ro xâm nhập từ những chiến dịch được ngụy trang tinh vi như trên.
Theo Bleeping Computer