巧妙なフィッシング攻撃の新たな波が、GitHub通知を通じてY Combinatorを装い、開発者やスタートアップを標的にしています。被害者は、スタートアップ資金の選考に通過したと信じ込まされ、偽の認証スキームを通じて金銭を窃取されています。この事件は、フィッシング詐欺師が信頼されたオンラインプラットフォームや評判の高い組織を悪用する新たな手口を浮き彫りにしています。

攻撃者は、「ycombinato」、「ycombbinator」、「yccombinator」など、Y Combinatorに酷似したGitHubアカウントとリポジトリ名を多数登録しました。これらのアカウントは、1分間に数百ものGitHubイシューを作成し、それぞれが多数のランダムなユーザーをタグ付けしました。通知はY Combinatorの公式連絡のように見えるように設計されており、資金提供の選考や承認プロセスについて言及していることがよくありました。被害者はメールやGitHub通知を受け取り、時には「ウォレットの認証」や次のステップのための資金預入を求めるフォローアップもありました。攻撃者はさらに、「ycombinatornotify」や「mail-notifaction-automatic」といったGitHubアプリを展開し、メッセージの信頼性を高めようとしました。このスキームは、GitHubの通知システムとメールの両方を悪用し、リポジトリが報告・削除されるか、GitHubによってレート制限されるまで自動化されたスクリプトを使用していました。

多くの被害者は、これらのGitHub通知から「y-comblnator.com」などのフィッシングドメインにリダイレクトされたと報告しています。これらのページはY Combinatorのブランドを模倣していましたが、ウォレットの認証情報を収集したり、仮想通貨の預入を要求したりするように設計されており、スタートアップ資金の約束でユーザーを騙していました。ユーザーは、これらのドメインがタイポスクワッティングされており、通常は文字を置き換えたりハイフンを追加したりして検出を回避していることに気づきました。一部の報告では、最初のスパムリポジトリが削除された後も不審な活動が続いており、新たに作成されたアカウントやリポジトリからの通知が確認されています。攻撃者は常にアプローチを適応させ、以前のキャンペーンが停止される前に新たなキャンペーンを開始していました。

このニュースはHacker NewsやGitHubフォーラムで急速に広まり、ユーザーは警告や緩和策を共有しました。多くのユーザーが公式のY Combinatorセキュリティチーム（security@ycombinator.com）をタグ付けし、GitHubの不正行為報告システムを利用しましたが、一部では報告機能に問題があることも指摘されました。影響を受けた個人は、詐欺的なドメインをブラウザや検索エンジンのフィッシング保護リストにも提出しました。GitHubに残る通知スパムを削除するため、ユーザーはAPIの回避策を利用しました。これは、UIがこれらのメッセージを適切に表示しなかったためです。GitHubはその後、詐欺リポジトリとユーザーアカウントを削除することで対応しましたが、フィッシング通知や偽のドメインは依然として存在する可能性があります。

このフィッシングキャンペーンは、サイバー犯罪者がいかに信頼されたサービス通知を悪用し、評判の高いブランドを模倣して、通常のユーザーの懐疑心を回避しているかを浮き彫りにしています。開発者やスタートアップの創設者は、警戒を怠らず、組織とのコミュニケーションを直接確認し、不審な活動を迅速に報告することが求められます。

元記事: [https://gbhackers.com/github-notifications-y-combinator-impersonation/](https://gbhackers.com/github-notifications-y-combinator-impersonation/)