Siber güvenlik araştırmacıları, kötü amaçlı bağlantılar ve kimlik bilgisi çalma yükleri sunmak için Github’un resmi bildirim sistemini kullanan yeni bir kimlik avı kampanyası ortaya çıkardılar.
Siber suçluların Github’ın iletişim kanallarına yerleştirdiği güvenden yararlanarak, siber suçlular geleneksel e-posta filtrelerini ve sosyal mühendislik savunmalarını atlayabilir.
Kampanya, GitHub’ın standart bildirim biçimini, tanıdık logo, üstbilgi stilleri ve altbilgi bağlantıları ile yakın bir şekilde taklit eden bir e -posta ile başlar.
Alıcılar, yeni işbirlikçisi davetiyeleri, beklemede olan çekme incelemeleri veya depolardaki güvenlik uyarıları hakkında mesajlar alır.
Gerçekte, bu bildirimlerdeki bağlantılar GitHub kimlik bilgilerini toplamak için tasarlanmış saldırgan kontrollü alanlara yönlendirir.
Güvenlik analistleri, bu sahte sitelerde kullanıcı adı ve şifre bilgilerini giren mağdurların yanlışlıkla tehdit aktörlerine kod depolarına ve özel verilerine tam erişim sağladıklarını belirtiyorlar.
Bu saldırı dalgasında gözlenen ilginç bir bükülme, Gitcoin’in geliştirici fonu duyurularının bir yem olarak kötüye kullanılmasıdır.
Bir Örnek Kimlik avı e-postası, topluluk hibelerinin çekiciliğini ve açık kaynaklı finansman girişimlerini kullanarak “GitHub × Gitcoin Geliştirici Fonu 2025” programına atıfta bulundu.
İki güvenilir marka adını harmanlayarak, saldırganlar mesajın güvenilirliğini artırır ve alıcıları şüphe olmadan uyma olasılığını artırır.
Kimlik avı cazibesinde belirtilen iade edilebilir bir depozito gereksinimi, kullanıcıları, hibe finansmanını rezerve etmek için meşru ödemelerin gerekli olduğu kisvesi altında ilerlemeye ikna eder.
Kimlik avı altyapısının gelişmişliği
Açık yazım hataları veya genel ifadeler içeren kaba kimlik avı mesajlarının aksine, bu e -postalar dinamik içerik ve kişiselleştirilmiş ayrıntılar kullanır.
Saldırganlar, her bir alıcıya özel görünen mesajlar hazırlamak için depo adları, son katkılar ve takipçi sayıları gibi kamu profillerinden hasat edilen bilgileri kullanır.
Gömülü izleme pikselleri ve benzersiz URL’ler, tehdit aktörlerinin hangi hedeflerin e-postayla etkileşime girdiğini belirlemelerini ve uzlaşmayı derinleştirmeyi amaçlayan takip mesajlarını tetiklemelerini sağlar.
Tespitten kaçınmak için, bu kimlik avı e -postaları daha önce benign trafik sunmuş olan uzlaşmış posta sunucularından veya botnetlerden gönderilir.
Kaynak IP’ler ve gönderme alanları genellikle temiz geçmişlere sahip olduğundan, yalnızca etki alanı itibarına dayanan e -posta güvenlik ağ geçitleri daha az etkilidir.
Geçerli DKIM imzalarının ve SPF kayıtlarının kullanılması, filtreleme çabalarını daha da karmaşıklaştırır, bu da otomatik savunmaların meşru github bildirimleri ve kötü niyetli sahteciler arasında ayrım yapmasını zorlaştırır.
Hafifletme
Geliştiriciler ve depo yöneticileri, beklenmedik GitHub bildirimleriyle etkileşime girerken artan uyanıklık kullanmalıdır.
Herhangi bir bağlantının arkasındaki gerçek URL’nin doğrulanması – tıklamadan önce üzerine gelerek – GitHub Web Arabirimi veya Resmi Mobil Uygulaması aracılığıyla mesajları onaylamak, kimlik bilgisine maruz kalmayı önleyebilir.
GitHub hesaplarında iki faktörlü kimlik doğrulamanın (2FA) etkinleştirilmesi şiddetle tavsiye edilir; Kimlik bilgileri tehlikeye atılsa bile, 2FA yetkisiz erişimi engelleyebilir.
Kuruluşlar, mesaj içeriğini, kullanıcı davranışını ve bağlantı hedeflerini gerçek zamanlı olarak analiz eden gelişmiş anti-avlama çözümlerini uygulayarak e-posta güvenlik duruşlarını güçlendirebilir.
Güvenlik ekipleri ayrıca Github.com’dan kaynaklandığını iddia eden kimlik doğrulanmamış e-postaları reddeden veya karantinaya yatıran etki alanı tabanlı mesaj kimlik doğrulaması, raporlama ve uygunluk (DMARC) politikalarını dağıtmalıdır.
Düzenli kimlik avı farkındalığı eğitimi ve simüle edilmiş egzersizler, geliştiricilerin sofistike yemlerin ayırt edici özelliklerini tanımasını sağlamaya yardımcı olacaktır.
Açık kaynaklı ekosistemler büyümeye devam ettikçe, tehdit aktörleri muhtemelen taktiklerini geliştirecek, giderek daha ikna edici kimlik avı kampanyaları başlatmak için marka güvenini ve topluluk katılımını kullanacaklar.
Kuruluşlar, katmanlı savunmaları benimseyerek, sürekli uyanıklığı koruyarak ve geliştiriciler arasında ilk bir güvenlik kültürünü teşvik ederek, bu ortaya çıkan tehditlerin ortaya koyduğu riski azaltabilir ve depolarını yetkisiz saldırıya karşı koruyabilir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.