Grote phishingcampagne op GitHub met neppe securitymeldingen

maandag, 30 maart 2026 (12:55) - Techzine

In dit artikel:

Onderzoekers van Socket waarschuwen voor een grootschalige phishingcampagne die ontwikkelaars via GitHub probeert te misleiden. Misbruikmakend van de Discussions-functie plaatsen aanvallers in korte tijd duizenden vrijwel identieke berichten in uiteenlopende repositories. De posts imiteren beveiligingsadviezen over Visual Studio Code, bevatten vaak verzonnen CVE-nummers en noemen specifieke versies, en wekken zodoende urgentie en vertrouwen — soms door zich voor te doen als bekende maintainers of securityonderzoekers. Doordat Discussions e-mailmeldingen sturen naar deelnemers en volgers, bereiken de valse waarschuwingen slachtoffers ook buiten GitHub.

De accounts die de berichten plaatsen zijn nieuw of nauwelijks actief, wat duidt op automatisering. In veel gevallen worden grote groepen ontwikkelaars tegelijk getagd om zichtbaarheid te vergroten en druk tot snel handelen te creëren. De kwaadaardige payload wordt niet op GitHub zelf aangeboden, maar via externe downloadlinks (vaak betrouwbare diensten zoals Google Drive) die via omleidingen doorsturen naar infrastructuur onder controle van de aanvallers.

De externe landingpagina's draaien een JavaScript-profilingstap: gegevens als tijdzone, browser- en besturingssysteeminformatie en signalen voor geautomatiseerde analyse worden verzameld en naar een command-and-controlserver gestuurd. Dat lijkt bedoeld om echte slachtoffers te selecteren en bots of onderzoekers uit te sluiten; tot nu toe is er geen directe malware- of credentialdiefstal op de profielpagina zelf waargenomen. Onderzoekers vermoeden dat dit deel uitmaakt van een traffic distribution system en dat latere stappen—zoals phishingpagina’s of exploits—mogelijk volgen.

Het succes van de campagne komt voort uit het hoge vertrouwen dat ontwikkelaars in GitHub hebben, de alarmtoon van beveiligingsmeldingen en minder strikte moderatie van Discussions. Socket raadt ontwikkelaars aan externe downloadlinks, onbekende kwetsbaarheidsclaims en berichten van nieuwe accounts kritisch te onderzoeken en beveiligingsclaims altijd via officiële kanalen of de projectpagina’s te verifiëren. De aanval sluit aan bij eerdere incidenten waarin GitHub-notificaties werden misbruikt, waaronder een grote phishingactie in maart 2025 met circa 12.000 repositories en eerdere misbruikgevallen in 2024.