根据资安新闻网站Bleeping Computer的报导，有人锁定经常使用GitHub、维护或追踪特定开源项目的开发人员，寄送钓鱼邮件来散布窃资软件Lumma Stealer。攻击者使用恶意GitHub帐号，在目标存储库通报新问题（issue），声称该项目存在安全漏洞，诱骗想要协助处理的用户存取冒牌的GitHub Scanner网域，一旦用户照做，电脑就有可能被植入恶意软件。

这起事故被揭露的原因，是该新闻网站接获许多GitHub用户反映，他们表示，一直收到自己参与的项目电子邮件通报，要求他们去处理存储库的资安漏洞，并存取github-scanner[.]com进一步了解相关信息。

然而，一旦用户依照信件的说明存取该网站，网页就会要他们进行图灵验证，要依照指示证明他们是人类。

若是用户点击「我不是机器人」的按钮，网站后台的JavaScript脚本就会将恶意代码拷贝到电脑的剪贴板。

接着，网站就会要求用户按下键盘组合键来进行「验证」：先是按下Windows键和R打开运行窗口，然后按Ctrl及V粘贴剪贴板的内容，再按下Enter。

假如用户照做，电脑就会运行黑客通过网站后台粘贴的恶意代码，下载运行档l6E.exe，Bleeping Computer经过分析，确认该运行档就是窃资软件Lumma Stealer。

值得留意的是，类似的攻击行动并非首例，一个月前，资安业者Palo Alto Networks旗下威胁情报团队Unit 42发现类似的图灵验证网站，同样要求用户依序按下特定快速键运行恶意代码，意图于受害电脑散布Lumma Stealer；接着Bleeping Computer报导有人假借通报漏洞为由，向GitHub用户散布该窃资软件的情况。