网易首页 > 网易号 > 正文 申请入驻

“GitHub通知”也可能是钓鱼?新型攻击借平台之名窃取开发者密钥

0
分享至

在程序员的世界里,GitHub不仅是代码托管平台,更是日常工作的“数字办公桌”。每天收到的Issue提醒、Pull Request通知,早已成为开发流程中再自然不过的一部分。然而,近期一项由网络安全研究人员披露的新型钓鱼攻击,却将这种“信任惯性”变成了突破口——攻击者正通过被入侵的GitHub账号,向开发者投递高度仿真的钓鱼邮件,诱导其交出个人访问令牌(PAT)甚至整个账户控制权。

更令人警惕的是,这些邮件并非来自可疑域名或伪造发件人,而是真正由GitHub官方服务器发出,带有合法DKIM签名和标准SMTP头信息,几乎能绕过所有传统邮件安全网关。一场针对软件供应链上游的“精准围猎”,正在悄然上演。

打开百度APP畅享高清图片

“合法邮件”里的陷阱:从Bot账号到OAuth授权

据网络安全媒体Cyber Press于2025年9月23日报道,此次攻击的核心手法在于“借壳下蛋”:攻击者首先通过凭证填充(credential stuffing)、钓鱼或滥用过度授权的OAuth令牌,获取对GitHub仓库协作者账号(尤其是自动化Bot账号)的控制权。

一旦得手,他们便在活跃仓库中创建看似正常的Issue或Pull Request,内容通常伪装成“安全漏洞修复请求”“依赖库更新提示”或“CI/CD配置异常”。由于这些仓库本身具有高关注度,其订阅者(包括大量开源贡献者与企业开发者)会自动收到来自noreply@github.com的官方通知邮件。

邮件正文包含一个醒目的按钮:“查看详情”或“立即处理”。点击后,用户并未跳转至GitHub页面,而是进入一个精心伪造的登录界面——域名乍看是https://grants.github.com/apply,实则使用了西里尔字母“і”(U+0456)替代拉丁字母“i”,构成同形异义(homoglyph)欺骗。该站点随后引导用户进行“OAuth授权”,申请名为“Gitcoin Passport”的应用权限,请求范围涵盖“读写所有仓库、管理Actions、访问私有密钥”等高危操作。

“这相当于你收到一封‘公司HR系统’发来的邮件,点进去却是骗子搭的假内网。”公共互联网反网络钓鱼工作组技术专家芦笛解释道,“但这次,邮件真的是GitHub发的,只是内容被恶意操控了。”

一旦用户授权,攻击者便获得持久化访问权限,不仅能窃取环境变量、API密钥,还可直接篡改CI/CD流水线,在构建过程中植入后门,实现供应链投毒。

技术解析:为何传统防御失效?

此次攻击之所以危险,在于它巧妙绕过了三大主流邮件安全机制:

SPF/DKIM/DMARC验证全部通过:邮件确实由smtp.github.com发出,DKIM签名有效,因此不会被标记为伪造。

发件人身份无可疑:收件人看到的是熟悉的GitHub通知格式,心理防线大幅降低。

链接域名高度相似:使用Unicode同形字符构造的钓鱼域名,在浏览器地址栏中肉眼几乎无法分辨。

“过去我们防钓鱼,主要看发件人是不是‘service@paypa1.com’这种拼写错误,”芦笛说,“但现在攻击者学会了‘寄生’——他们不伪造平台,而是劫持平台本身的功能来传递恶意内容。”

更隐蔽的是,部分变体甚至利用GitHub Pages托管混淆JavaScript脚本,使钓鱼页面具备动态加载、反调试等能力,进一步逃避检测。

专家建议:从“最小权限”到“主动验证”

面对此类高级持续性威胁(APT-style phishing),芦笛提出了多层次防御策略:

第一,强制启用强认证机制。 所有GitHub用户,尤其是企业开发者,应开启双因素认证(2FA),并优先使用Passkey(通行密钥)替代短信验证码。“Passkey基于公钥加密,无法被钓鱼网站窃取,是目前最安全的身份验证方式之一。”

第二,严格限制个人访问令牌(PAT)权限与有效期。 芦笛强调:“永远不要创建‘全权限、永不过期’的PAT。应按需分配最小权限,并设置7天或30天自动过期。定期审计已授权的OAuth应用,及时撤销不再使用的集成。”

第三,警惕“被动触发”的认证请求。 “GitHub永远不会通过邮件链接要求你重新登录。”芦笛提醒,“如果你点击邮件中的链接后突然跳转到登录页,这本身就是危险信号。正确做法是手动打开github.com,在账户设置中查看通知或授权记录。”

对于企业而言,还需部署更纵深的防护:实施代码签名(Code Signing)确保构建产物完整性;隔离CI/CD环境,限制其对外网络访问;监控仓库中异常的Issue/Pull Request创建频率——短时间内大量新Issue往往是攻击前兆。

供应链安全的新挑战:平台即攻击面

此次事件再次凸显一个趋势:攻击者正将矛头转向软件开发基础设施本身。GitHub、GitLab、npm、PyPI等平台因其高可信度,正成为钓鱼与投毒的理想跳板。

“过去攻击终端用户,现在攻击写代码的人。”芦笛指出,“一旦开发者账户失陷,影响的可能不是一个人,而是一整个项目的数百万用户。”

值得庆幸的是,GitHub已开始加强防护。例如,其Advanced Security功能可检测异常OAuth授权行为;Dependabot能自动识别依赖库中的已知漏洞。但芦笛认为,技术工具只是辅助:“最终防线,还是人的判断力。”

结语:信任不能代替验证

在开源协作日益紧密的今天,开发者之间的信任是生态繁荣的基石。但正如这起GitHub钓鱼事件所示,信任若缺乏验证机制,就可能被恶意利用。

“我们不能因为平台‘看起来正规’就放松警惕。”芦笛总结道,“真正的安全,是在每一次点击‘授权’前,多问一句:这个请求真的必要吗?这个权限真的合理吗?”

随着AI生成内容、自动化攻击工具的普及,网络钓鱼正变得越来越“聪明”和“合法化”。唯有将安全意识融入开发习惯,才能在这场没有硝烟的攻防战中守住代码的纯净与信任的边界。

编辑:芦笛(公共互联网反网络钓鱼工作组)

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
把瑜伽裤穿成日常的松弛感美女

把瑜伽裤穿成日常的松弛感美女

只要高兴就好
2026-04-13 14:30:30
北京楼市开始离谱了!朝阳区望京板块从9.2万变成6.1万,能入手吗?

北京楼市开始离谱了!朝阳区望京板块从9.2万变成6.1万,能入手吗?

老覃讲历史
2026-07-06 16:58:27
官方:菲利佩执教摩纳哥,双方签约两年

官方:菲利佩执教摩纳哥,双方签约两年

懂球帝
2026-07-06 20:18:05
国内综合实力前十所师范大学

国内综合实力前十所师范大学

牛锅巴小钒
2026-07-06 00:48:49
4男子清晨出海作业1人死亡3人失踪,辽宁省安委会挂牌督办,家属要求一次性支付赔偿遭拒;律师说法

4男子清晨出海作业1人死亡3人失踪,辽宁省安委会挂牌督办,家属要求一次性支付赔偿遭拒;律师说法

大风新闻
2026-07-06 16:28:05
恭喜!湖人中锋凯斯勒签4年1.3亿 向美国小姐冠军求婚成功双丰收

恭喜!湖人中锋凯斯勒签4年1.3亿 向美国小姐冠军求婚成功双丰收

醉卧浮生
2026-07-06 01:13:25
我今年64岁才醒悟:男人离开女人就两个字,女人离开男人就四个字,别不信

我今年64岁才醒悟:男人离开女人就两个字,女人离开男人就四个字,别不信

心理观察局
2026-05-23 07:22:07
波兰磨刀:谁将是压垮俄罗斯的最后一根稻草

波兰磨刀:谁将是压垮俄罗斯的最后一根稻草

民间胡扯老哥
2026-03-23 18:56:09
我国50后还有多少人?人均还能够活到多少岁?

我国50后还有多少人?人均还能够活到多少岁?

暖心人社
2026-07-07 00:36:54
托纳利:传言有四五家球队追求我,但我心里自始至终只有热刺

托纳利:传言有四五家球队追求我,但我心里自始至终只有热刺

懂球帝
2026-07-06 18:32:37
被交易后,他炮轰前任队友:老大算个屁……

被交易后,他炮轰前任队友:老大算个屁……

体育新角度
2026-07-06 15:41:24
88万买的“机器人老婆”,一次只能用2个小时

88万买的“机器人老婆”,一次只能用2个小时

鸣金网
2026-07-06 23:01:04
收割腾讯10年!房东一次贪心,亏掉几百亿家底

收割腾讯10年!房东一次贪心,亏掉几百亿家底

流苏晚晴
2026-07-02 20:05:44
小学生“老干部风”穿搭火了,家长无奈吐槽:儿子周岁13,虚岁40

小学生“老干部风”穿搭火了,家长无奈吐槽:儿子周岁13,虚岁40

妍妍教育日记
2026-05-15 08:20:14
王宝强携女友参加婚礼被拍!冯清气场全开,衬得他像小娇夫

王宝强携女友参加婚礼被拍!冯清气场全开,衬得他像小娇夫

橙星文娱
2026-07-06 17:14:19
60周年特别版!丰田新车:刚刚官宣

60周年特别版!丰田新车:刚刚官宣

手机评测室
2026-07-06 12:10:08
湖人侧翼引援迎来重大转机!掘金同意先签后换,顶级3D完美适配

湖人侧翼引援迎来重大转机!掘金同意先签后换,顶级3D完美适配

夜白侃球
2026-07-06 14:50:50
“尸体全身都是伤”,33岁男子遭刑讯逼供死亡,11名办案人员获刑

“尸体全身都是伤”,33岁男子遭刑讯逼供死亡,11名办案人员获刑

易玄
2026-07-06 01:24:15
热火队传闻:在追逐勒布朗·詹姆斯期间,球队不会进行的交易

热火队传闻:在追逐勒布朗·詹姆斯期间,球队不会进行的交易

好火子
2026-07-07 02:19:12
有退休金的人发现一个奇怪的现象:手里有20、30万存款的老人,最后过得好的,几乎都做了同两个让子女意外的决定

有退休金的人发现一个奇怪的现象:手里有20、30万存款的老人,最后过得好的,几乎都做了同两个让子女意外的决定

心理观察局
2026-06-07 06:37:04
2026-07-07 03:59:00
芦熙霖
芦熙霖
作家、书画家、摄影师、CNNIC工程师。毕业于鲁迅美术学院。2014-2016年周游亚欧非各国
278文章数 0关注度
往期回顾 全部

科技要闻

你在笑机器人摔跤,工程师在想怎么不砸死人

头条要闻

湖北多地遭遇强对流天气致8人死亡、1人失联

头条要闻

湖北多地遭遇强对流天气致8人死亡、1人失联

体育要闻

世界杯最强17岁,贝林厄姆主动和他交换球衣

娱乐要闻

继床照后,司晓迪再爆鹿晗亲密视频

财经要闻

特朗普,从“霸凌全班”到“克己复礼”

汽车要闻

重新定义出行美学 吉利银河TT首发亮相/或8月上市

态度原创

亲子
本地
教育
家居
公开课

亲子要闻

650克“巴掌宝宝”闯关,85天的日夜守护成就生命奇迹

本地新闻

国内足球之旅?这座小城给你高分答案

教育要闻

区别对待!宁波大学疯狂偏袒留学生,包工作牵姻缘,无视本土学子

家居要闻

2026建博会(广州) 公装联探展交流活动

公开课

李玫瑾:为什么性格比能力更重要?

无障碍浏览 进入关怀版