Siber suçlular, prestijli başlangıç hızlandırıcısı y kombinatörünü taklit etmek için GitHub’ın bildirim sisteminden yararlanan ve geliştiricilerin kripto para cüzdanlarını sahte finansman fırsatı bildirimleriyle hedefleyen sofistike bir kimlik avı kampanyasını düzenlediler.
Saldırı, GitHub’ın sorun izleme sistemini, platformun meşru bildirim altyapısını kullanarak geleneksel e-posta güvenlik filtrelerini atlayarak, kimlik avı bildirimlerini seri dağıtmak için kullanıyor.
Tehdit aktörleri, Ycombinato, YCommbinator ve Ycoommbinator dahil olmak üzere y kombinatoruna benzeyen isimlerle birden fazla GitHub hesabı oluşturdu ve YcomBinatornotify adlı kötü niyetli bir GitHub uygulaması.
Y kombinator kimlik avı dolandırıcılığı
Saldırganlar GitHub’ın API sınırlamaları ve bildirim mekanizmaları hakkında sofistike bir anlayış gösterdiler.
Her kötü niyetli depo, GitHub’ın hız sınırlayıcı eşiklerine çarpmadan önce yaklaşık 500 sorun oluşturdu, her bir sayı kimlik avı içeriği içeriyor ve bildirim dağılımını en üst düzeye çıkarmak için çok sayıda rastgele GitHub kullanıcı adını etiketledi.
Bildirimler, GitHub’ın resmi bildirim sisteminden kaynaklandıkları için otantik görünüyordu, bu da kullanıcıların derhal hileli olarak tanımlamalarını zorlaştırıyor.
Kimlik avı mesajları, alıcıların “finansman için seçildiğini” ve sözde birleştirici yatırım fırsatlarına erişmek için cüzdan doğrulaması veya yetkilendirme depozitoları gerekli olduğunu iddia etti.
Bu sosyal mühendislik tekniği, geliştirici topluluğunun Y Combinator’ın meşru başvuru sürecine aşinasını açıkça hedefler ve hızlandırıcı programına kabul ile ilişkili prestij ve arzu edilebilirliği kullanır.
Operasyon, Y Combinator’ın meşru web sitesinin ikna edici bir kopyasını oluşturmak için Y-Comblnator.com alanını (“I” için “i” yerine “L” yerine getirerek) kaydederek yazım hatası teknikleri kullandı.
Bu etki alanı, şüphesiz kurbanlardan kripto para birimi cüzdan kimlik bilgilerini ve özel anahtarları hasat etmek için tasarlanmış sahte uygulama sayfalarını barındırdı.
GitHub’ın güvenlik ekibi kötü niyetli hesapları ve depoları askıya alarak yanıt verdi, ancak saldırının dağıtılmış doğası birden fazla hesapta kalıcılık zorlukları yarattı.
Etkilenen kullanıcılar, manuel API çağrıları gerektiren bildirim rozetleri kaldığını bildirdi, phantom bildirimlerini okuduğunu işaretlemek için kimlik doğrulama jetonları ile curl -x yaması gibi komutlar kullanarak.
Olay, işbirlikçi kalkınma platformlarının, muhtemel dijital varlık sahipleri nedeniyle yüksek değerli hedefleri temsil eden teknik profesyonellerin kripto para birimi varlıklarını hedefleyen büyük ölçekli kimlik avı kampanyaları için meşru bildirim sistemlerinin silahlandırılabileceği kötüye kullanıma karşı savunmasızlığını vurgulamaktadır.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
