GitHub 用户遭遇网络钓鱼和勒索攻击

关键要点

GitHub 用户正受到利用该网站通知系统和恶意 OAuth 应用的网络钓鱼和勒索攻击。该攻击已经持续了近四个月，目标用户在评论中被提到时会收到冒充 GitHub 的钓鱼邮件。攻击者通过伪造邮件内容，诱使用户授权应用访问其 GitHub 账户，进而实施勒索。GitHub 正在采取措施应对这一攻击，并提示用户如何保护自己的账户安全。

GitHub 用户目前正成为一个网络钓鱼和勒索活动的目标，该活动利用了 GitHub 的通知系统和一个恶意的 OAuth 应用程序来欺骗受害者。

根据今年二月份开启的GitHub社区讨论，这一活动已经持续近四个月。上周，CronUp 安全研究员 Germn Fernndez 在社交媒体上的帖子进一步揭示了这一骗局的最新情况。

白鲸梯子加速器

受害者被卷入欺诈活动的原因是他们的用户名在评论中被提到即被标记，这会触发一封来自 [email protected] 的邮件，用户可能会认为这是来自真实的 GitHub 邮件地址。

攻击者留下的评论故意设计成看似来自 GitHub 工作人员的邮件，而 unsuspecting 用户若收到通知邮件，很可能会误以为是在阅读直接发送的邮件内容，而非评论详情。

从 GitHub 社区讨论的截图来看，唯一区别在于邮件主题行以“Re”开头，并在邮件底部有一行提示“您收到此邮件是因为您被提到了”。

这些钓鱼评论假冒 GitHub 员工，声称为用户提供工作机会，或警告用户存在安全漏洞。评论中包含指向类似 GitHub 域名的网站链接，例如 githubcareers[]online 和 githubtalentcommunity[]online，诱使用户授权外部应用访问其账户及仓库。

如果用户批准这个请求，攻击者会清空用户的仓库内容，并用一个 README 文件替换其内容，指引用户联系名为“gitloker”的人在 Telegram 上以恢复其数据。Gitloker 这一威胁行为者还利用被入侵的账户发布更多评论，触发更多的钓鱼邮件，使受害者的账户面临因其他用户举报诈骗而被删除的风险。

Cofense 的网络情报团队经理 Max Gannon 在给 SC 媒体的邮件中提到：“威胁行为者伪装成合法公司以获取内容并不新鲜，但这种方法为了获取访问权限而付出如此多努力则较为罕见。更为不同寻常的是，威胁者获得访问权限后，似乎只用于勒索，而不是采取更先进的行动，例如将恶意软件上传到仓库中以感染更多人。”

Gannon 还指出，Gitloker 声称已备份数据，并可能寻找凭证和漏洞，但也可能是一个寻求快速盈利的低技术攻击者。无论如何，Gitloker 的攻击展示了通过 GitHub 发起供应链攻击的潜力，并“强调了公司需要追踪他们使用的代码及其源头是否已经被入侵的事实。”Gannon 说。

Fernndez 的帖子包含了更多与 Gitloker Telegram 相关的其他勒索骗局证据，包括一个来自四月的威胁，称如果不支付 250000 美元，将泄露在某个组织的 GitHub 仓库中发现的机密信息，以及另一个来自二月初的勒索，要求在 24 小时内支付 1000 美元以避免来自不明受损源的数据泄露。

如何保护您的 GitHub 账户不受 Gitloker 和类似骗局的侵害

GitHub 自至少二月以来就已意识到 Gitloker 的网络钓鱼和勒索活动，一名工作人员在社区讨论中表示：“我们的团队目前正在处理这些未经请求的钓鱼通知。”

除了建议用户利用 GitHub 的滥用报告工具来报告垃圾消息外，该