网络犯罪分子策划了一场复杂的钓鱼攻击活动,他们利用GitHub的通知系统,冒充知名创业加速器Y Combinator,通过虚假的融资机会通知来针对开发者的加密货币钱包。
此次攻击利用GitHub的问题跟踪系统大规模分发钓鱼通知,通过该平台的合法通知基础设施绕过了传统的电子邮件安全过滤器。
威胁行为者创建了多个GitHub账户,其名称与Y Combinator极为相似,包括ycombinato、ycommbbinator和ycoommbinator,还创建了一个名为ycombinatornotify的恶意GitHub应用程序。
Y Combinator 钓鱼诈骗
攻击者展现出对GitHub的API限制和通知机制的深入理解。
每个恶意仓库在达到GitHub的速率限制阈值前,大约会生成500个议题,每个议题都包含钓鱼内容,并标记大量随机的GitHub用户名,以最大化通知的分发范围。
这些通知看起来很真实,因为它们来自GitHub的官方通知系统,这使得用户很难立即识别出它们是欺诈性的。
这些钓鱼信息声称收件人“已被选中获得资金”,并要求进行钱包验证或授权存款,以获取所谓的Y Combinator投资机会。
这种社会工程学技术明确针对开发者群体对Y Combinator合法申请流程的熟悉度,利用了与被该加速器项目录取相关的声望和吸引力。
此次操作采用了错字蹲守技术,注册了域名y-comblnator.com(将“combinator”中的“I”替换成了“L”),以创建一个足以乱真的Y Combinator官方网站仿制品。
该域名托管了伪造的应用程序页面,旨在从毫无防备的受害者那里窃取加密货币钱包的凭证和私钥。
GitHub的安全团队做出了回应,暂停了这些恶意账户和仓库,但此次攻击通过多个账户进行的分布式特性带来了持续性挑战。
受影响的用户报告称,通知徽章一直存在,需要通过手动API调用来清除,例如使用带有认证令牌的curl -X PATCH等命令将虚假通知标记为已读。
这一事件凸显了协作开发平台容易遭受滥用的脆弱性,在这些平台上,合法的通知系统可能被用作武器,用于大规模钓鱼活动,目标是技术专业人士的加密货币资产——由于这些人可能持有数字资产,因此成为高价值目标。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
