Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

GitHub Discussions: Chiến Dịch Tấn Công Phishing Tinh Vi Giả Mạo Cảnh Báo Bảo Mật VS Code

Updated
8 min read
GitHub Discussions: Chiến Dịch Tấn Công Phishing Tinh Vi Giả Mạo Cảnh Báo Bảo Mật VS Code
N
Nguyễn Văn Trung
Part of seriesNewsletters

GitHub Discussions: Chiến Dịch Phishing Giả Mạo Cảnh Báo Bảo Mật VS Code Nhắm Thẳng Vào Developer

Fake VS Code Critical Exploit alert được đăng hàng loạt trên GitHub Discussions

Một trong hàng nghìn Discussion giả mạo được đăng trên GitHub (Nguồn: Socket)

Khi bạn nhận được email thông báo từ GitHub rằng một repository bạn đang follow vừa post cảnh báo bảo mật khẩn cấp cho VS Code — bạn click vào. Đó chính xác là điều attackers đang cược.

Một chiến dịch phishing quy mô lớn phát hiện cuối tháng 3/2026 đang lạm dụng tính năng GitHub Discussions để phát tán malware, nhắm trực tiếp vào developer community. Điểm đáng lo ngại không phải là kỹ thuật phishing — mà là platform bị lạm dụng: GitHub, môi trường làm việc hàng ngày mà developer tin tưởng tuyệt đối.

Chi tiết chiến dịch

Bước 1 — Flood GitHub Discussions bằng fake advisory

Attackers tạo hàng loạt GitHub Discussions với tiêu đề giả mạo security advisory:

  • "Visual Studio Code – Severe Vulnerability – Immediate Update Required"

  • "Critical Exploit – Urgent Action Needed"

  • "Severe Threat – Update Immediately"

Mỗi post chứa fake CVE ID, version range bịa đặt, và link download "bản vá khẩn cấp" trỏ về file-sharing service bên ngoài (chủ yếu Google Drive).

Hàng trăm Discussions giả mạo xuất hiện đồng loạt trên GitHub search

Hàng trăm Discussions giả mạo xuất hiện đồng loạt trên GitHub search (Nguồn: Socket)

Hàng nghìn post gần như giống hệt nhau xuất hiện chỉ trong vài phút, được đăng từ các tài khoản mới tạo hoặc có hoạt động rất thấp. Đây là dấu hiệu rõ của automation, không phải tấn công thủ công.

Bước 2 — GitHub tự động amplify reach

Đây là điểm thiết kế thông minh nhất của chiến dịch, và cũng là lý do tại sao GitHub là target lý tưởng.

Khi một Discussion được tạo hoặc user bị tag, GitHub tự động gửi email notification đến tất cả watcher và participant của repository. Kết quả: phishing message không chỉ nằm trên platform — nó xuất hiện trực tiếp trong inbox của developer, dưới dạng email gửi từ địa chỉ notifications@github.com.

GitHub Discussions trigger email notifications tới toàn bộ watcher

GitHub Discussions trigger email notifications tới toàn bộ watcher (Nguồn: Socket)

Email từ GitHub domain, nội dung trông như security advisory, urgency language — ba yếu tố này cộng lại đủ để bypass cả người dùng kinh nghiệm.

Victim click link trong Discussion → không bị dẫn thẳng đến malware. Thay vào đó là một redirection chain được thiết kế để lọc traffic:

GitHub Discussion link
    ↓
share.google/... (Google endpoint)
    ↓ (phân nhánh dựa trên cookie)
    ├── CÓ Google cookie → 301 redirect → drnatashachinn[.]com (C2 thực sự)
    └── KHÔNG có cookie → nhận fingerprinting page trực tiếp
    ↓
JavaScript fingerprinting + auto-POST data về C2

Logic phân nhánh dựa trên Google cookie là chi tiết kỹ thuật quan trọng nhất: hầu hết real user đang dùng browser bình thường đều có Google cookie active, nên họ bị route thẳng đến C2. Bot, scanner, và automated analysis tools thường không có cookie → nhận response khác, tránh được detection.

Bước 4 — JavaScript fingerprinting tại landing page

Landing page tại C2 không deliver malware ngay. Thay vào đó, một JavaScript script obfuscate nặng (dùng array-shuffling và string reconstruction) thu thập:

  • Timezone và locale của browser

  • Platform và user-agent

  • Secondary user-agent qua hidden iframe

  • Automation signals: navigator.webdriver (phát hiện headless browser/bot)

  • URL hash values (dùng cho campaign tracking)

Toàn bộ data được encode và tự động POST về cùng endpoint mà không cần user interaction. Không có malware, không có credential harvesting ở giai đoạn này.

Behavior này nhất quán với Traffic Distribution System (TDS) — một lớp filtering/profiling trước khi route victim đến secondary attack stage (phishing page, exploit kit, hoặc payload download tùy loại nạn nhân). Tại thời điểm phân tích, secondary stage chưa được xác định.

Tại sao GitHub là target lý tưởng

Pattern này không ngẫu nhiên. Attackers đã khai thác GitHub hai lần trước đó:

  • Tháng 3/2025: Chiến dịch nhắm vào 12.000 repositories, lừa developer authorize một OAuth app độc hại để chiếm quyền truy cập tài khoản

  • Tháng 6/2024: Khai thác GitHub email system qua spam comment và pull request để redirect user đến phishing page

GitHub Discussions là vector mới nhất vì một lý do đơn giản: moderation threshold thấp hơn nhiều so với official security advisories. Bất kỳ tài khoản nào cũng có thể post Discussion vào hầu hết public repository, không cần approval.

Kết hợp với notification system tự động và trust context của platform, Discussions đang trở thành phishing delivery channel hiệu quả hơn cả email truyền thống đối với developer audience.

Và chiến dịch này không đơn độc — GitHub-hosted malware campaign uses split payload to evade detection được Help Net Security ghi nhận cùng tuần cho thấy pattern tương tự: attackers đang đẩy infostealer qua hơn 300 package giả mạo AI tool và game cheat, hosted trực tiếp trên GitHub. GitHub đang bị biến thành malware distribution infrastructure, không chỉ là attack vector một lần.

Góc nhìn từ phía defender

Developer đang bị nhắm đích vì lý do cụ thể

Developer machine không phải target ngẫu nhiên. Một workstation của developer thường chứa: source code của công ty, SSH key và API token, credential truy cập cloud environment, và access vào CI/CD pipeline. Một lần nhiễm malware trên developer endpoint có thể cascade thành supply chain compromise với phạm vi ảnh hưởng rộng hơn nhiều so với endpoint user thông thường.

Chiến dịch này nhắm vào VS Code cụ thể là vì VS Code là IDE phổ biến nhất trong developer community — attack surface rộng nhất có thể.

TDS là dấu hiệu của operation chuyên nghiệp

Việc dùng Traffic Distribution System thay vì deliver malware trực tiếp cho thấy operation có đầu tư. TDS cho phép operator: A/B test payload theo geolocation, lọc bot và researcher, thay đổi secondary payload mà không cần update primary infrastructure, và track conversion rate theo campaign. Đây không phải tool của script kiddie.

Fake CVE là red flag có thể verify ngay

Một trong những điểm yếu của chiến dịch là CVE fabricated. Mọi CVE hợp lệ đều có thể verify trong vòng 30 giây tại NVD hoặc MITRE CVE. Nếu CVE trong cảnh báo không tồn tại trong database — đó là lure.

Detection và phòng thủ

Cho individual developer

Verify trước khi click:

  • CVE thật phải có trong NVD, MITRE CVE, hoặc CISA KEV catalog

  • VS Code update chỉ đến từ code.visualstudio.com hoặc trong-app update — không bao giờ từ Google Drive

  • Account đăng advisory mới tạo hoặc ít hoạt động → red flag

Indicators cần chú ý:

C2 domain:    drnatashachinn[.]com
Redirect:     share.google → 301 → C2
Pattern:      Fake CVE + external download link + urgency + mass-tagging

Cho security team và tổ chức

# Monitor outbound connection từ developer endpoint đến domain lạ
# sau khi click link từ GitHub notification email
network.destination: *drnatashachinn* OR
    (referrer: "github.com/*/discussions/*" AND destination: !github.com)

# Hunt GitHub Discussion notification email chứa external download link
email.sender: "notifications@github.com"
AND email.body: ("google drive" OR "drive.google" OR "mega.nz")
AND email.body: ("vulnerability" OR "CVE" OR "critical")

# Process spawn bất thường sau khi browser mở link từ GitHub
parent_process: browser
AND child_process: (powershell OR cmd OR wscript OR curl)

Khuyến nghị tổ chức:

  • Enforce policy: software update chỉ qua approved channels, không phải link từ third-party

  • Train developer team nhận biết GitHub-based phishing — khác với email phishing truyền thống

  • Consider network egress filtering cho developer endpoint, đặc biệt đối với domain không thuộc whitelist xuất hiện sau GitHub notification click

Nhận định

GitHub Discussions bị vũ khí hóa thành phishing channel là một bước leo thang đáng lo ngại — không phải vì kỹ thuật quá tinh vi, mà vì nó khai thác trust theo cách rất khó train người dùng phòng tránh. Developer được training để cẩn thận với email lạ. Họ không được training để nghi ngờ notification từ notifications@github.com về repository họ đang contribute.

Pattern này sẽ tiếp tục. GitHub không phải platform duy nhất có collaborative feature bị khai thác kiểu này — GitLab Issues, Bitbucket, npm package READMEs đều là attack surface tiềm năng tương tự. Defender cần shift từ "trust the platform, verify the content" sang "verify cả platform feature được dùng để deliver content".

Nguồn tham khảo:

#traffic-distribution-system#developer-security#github#phishing#social-engineering#supply-chain#vs-code

Newsletters

Part 2 of 50
Up next

Lỗ hổng zero-day nghiêm trọng trong Google Chrome đang bị khai thác trên thực tế

Đầu tháng 04 năm 2026, Google phát hành bản vá cho 21 lỗ hổng nghiêm trọng, tồn tại trong trình duyệt Google Chrome. Đáng chú ý, trong số các lỗ hổng nhận được bản vá lần này, xuất hiện một lỗ hổng đã

More from this blog

F

FPT IS Security

718 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.