根據資安新聞網站Bleeping Computer的報導，有人鎖定經常使用GitHub、維護或追蹤特定開源專案的開發人員，寄送釣魚郵件來散布竊資軟體Lumma Stealer。攻擊者使用惡意GitHub帳號，在目標儲存庫通報新問題（issue），聲稱該專案存在安全漏洞，誘騙想要協助處理的用戶存取冒牌的GitHub Scanner網域，一旦使用者照做，電腦就有可能被植入惡意軟體。

這起事故被揭露的原因，是該新聞網站接獲許多GitHub用戶反映，他們表示，一直收到自己參與的專案電子郵件通報，要求他們去處理儲存庫的資安漏洞，並存取github-scanner[.]com進一步了解相關資訊。

然而，一旦使用者依照信件的說明存取該網站，網頁就會要他們進行圖靈驗證，要依照指示證明他們是人類。

若是使用者點選「我不是機器人」的按鈕，網站後臺的JavaScript指令碼就會將惡意程式碼複製到電腦的剪貼簿。

接著，網站就會要求使用者按下鍵盤組合鍵來進行「驗證」：先是按下Windows鍵和R開啟執行視窗，然後按Ctrl及V貼上剪貼簿的內容，再按下Enter。

假如使用者照做，電腦就會執行駭客透過網站後臺貼上的惡意程式碼，下載執行檔l6E.exe，Bleeping Computer經過分析，確認該執行檔就是竊資軟體Lumma Stealer。

值得留意的是，類似的攻擊行動並非首例，一個月前，資安業者Palo Alto Networks旗下威脅情報團隊Unit 42發現類似的圖靈驗證網站，同樣要求使用者依序按下特定快速鍵執行惡意程式碼，意圖於受害電腦散布Lumma Stealer；接著Bleeping Computer報導有人假借通報漏洞為由，向GitHub用戶散布該竊資軟體的情況。