Hackers Leverage GitHub Notifications to Mimic as Y Combinator to Steal Funds from Wallets
2025/09/25 CyberSecurityNews — GitHub の通知システムを悪用する高度なフィッシング・キャンペーンを仕掛けるサイバー犯罪者が、著名なスタート・アップアクセラレーター Y Combinator を装いながら偽の資金調達の機会をルアーにして、開発者の暗号通貨ウォレットを標的にしている。この攻撃は、GitHub の課題追跡システムを悪用し、プラットフォームの正規通知インフラを通じて既存のメール・セキュリティ・フィルタを迂回しながら、フィッシング通知を大量に拡散させている。
この攻撃者が作成したものには、Y Combinator に酷似した名称 (ycombinato/ycommbbinator/ycoommbinator などのタイポスクワッティング) の複数の GitHub アカウントと、悪意の GitHub アプリケーション ycombinatornotify がある。
Y Combinator フィッシング詐欺
GitHub の API 制限と通知メカニズムを熟知する攻撃者は、それぞれの悪意のリポジトリが GitHub のレート制限閾値に達する前に、フィッシング・コンテンツが含まれる約 500 件の issue を生成した。さらに、通知の配布を最大化するために、多数のランダムな GitHub ユーザー名がタグ付けされていた。これらの通知は、GitHub の公式通知システムから発信されるため、ユーザーが詐欺だと識別するのは困難だった。
フィッシングの文面は、”資金提供対象に選ばれた” と主張するものであり、Y Combinator の投資機会にアクセスするために、ウォレットの確認や入金の承認が必要だと誘導した。このソーシャル・エンジニアリング手法は、開発者コミュニティが Y Combinator の正規申請プロセスに精通している点を狙い、アクセラレータ・プログラムへの参加がもたらす威信と魅力を悪用するものだ。
この攻撃者は、タイポスクワッティングも用いている。具体的には、ドメイン y-comblnator.com (i を l に置換) を登録して正当なサイトのレプリカを構築し、被害者から暗号通貨ウォレットの認証情報や秘密鍵を収集するための、偽の申請ページを公開していた。
GitHub のセキュリティ・チームは、この悪意のアカウントとリポジトリを停止することで対応したが、それらは複数アカウントに分散しているため、継続性という面で課題が残っている。影響を受けたユーザーの環境では通知バッジが消えないため、認証トークンを指定する curl -X PATCH などを用いることで、手動で API 呼び出して既読にしたという報告があったという。
このインシデントが浮き彫りにするのは、共同開発プラットフォームが悪用する攻撃の形態である。正規の通知システムの武器化は、デジタル資産を保有する技術者を標的にする、大規模フィッシング攻撃で利用される恐れがある。
GitHub の通知機能を悪用するフィッシングですが、このプラットフォームへの信頼が攻撃経路になっています。攻撃者は大量の issue 作成やタグ付けで正規通知を装い、タイポスクワッティングで偽サイトへと誘導しました。この攻撃者は、API レート制限や通知配信の仕組みを熟知していたようであり、既存のメール・フィルタも回避したようです。よろしければ、GitHub Phishing で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.