文章总结： 网络安全研究人员发现黑客利用GitHub问题通知系统发送恶意OAuth应用授权请求进行钓鱼攻击，攻击者通过TOCTOU漏洞在发送通知后立即修改内容规避检测。该攻击零成本且难以追踪，可获取开发者仓库完全访问权限。建议开发者仔细审查OAuth权限、定期撤销未知授权、限制仓库交互并启用安全警报。 综合评分： 85 文章分类： 网络安全,社会工程学,漏洞分析,安全运营,安全意识

黑客滥用 GitHub 问题通知，通过恶意 OAuth 应用向开发者进行网络钓鱼攻击

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年4月22日 12:14 北京

在小说阅读器读本章

去阅读

网络安全研究人员发现了一种复杂的网络钓鱼技术，该技术利用 GitHub 自身的通知系统来发送恶意 OAuth 应用程序授权请求，从而攻击软件开发人员。

这种攻击尤其危险，因为它利用了 GitHub 的可信基础设施，使得受害者极难将其与合法的安全警报区分开来。

如今，开发人员是网络犯罪分子最有价值的目标之一。他们编写和管理着驱动应用程序、CI/CD 流水线和生产服务器的代码。

通过攻破开发者的帐户，攻击者可以直接访问源代码、私有存储库和自动化工作流程，然后可以利用这些资源大规模地将恶意代码注入软件供应链。

最近，Axios 和 LiteLLM 等广受欢迎的项目（每周下载量均超过 1 亿次）遭受的供应链攻击凸显了这些安全漏洞可能造成的破坏性。

Atsika 的分析师在研究针对 GitHub 开发者的鲜为人知的初始访问技术时，发现了这起网络钓鱼活动。研究人员指出，攻击者并未采用典型的中间人攻击策略。

相反，他们利用 GitHub 内置的问题通知系统，该系统会自动向问题描述中提到的任何用户发送电子邮件，将钓鱼内容直接从 GitHub 自己的 no-reply 地址推送到开发者的收件箱。

此次攻击活动最令人担忧之处在于其零成本部署。攻击者只需要一个免费的GitHub账户、一个恶意OAuth应用程序和一个免费的托管服务器即可。

威胁行为者创建了一个虚假的 GitHub 帐户，冒充官方安全服务，包括具有说服力的显示名称和捏造的存储库。

然后，他们在概念验证中构建了一个名为“MalGitApp”的OAuth 应用程序，该应用程序请求危险的权限，包括对公共和私有存储库的完全读取和写入访问权限、对 GitHub Actions 工作流的访问权限以及用户的电子邮件和个人资料数据。

一旦目标用户点击通知邮件中嵌入的钓鱼链接，就会被引导至一个看似合法的 GitHub 授权页面。该页面会显示请求的权限，如果开发者批准，攻击者就会收到一个有效的访问令牌。

此令牌允许攻击者克隆存储库、推送后门代码并与自动化工作流程交互，从而有效地获得对受害者 GitHub 帐户的部分控制权。

TOCTOU漏洞如何驱动攻击

Atsika 研究中最具技术意义的发现之一是在 GitHub 的通知系统中发现了检查时间使用时间 (TOCTOU) 竞争条件。

研究人员发现，攻击者可以发布一个提及目标用户的问题，触发电子邮件通知，然后在短短两到三秒内立即编辑或删除问题内容。

由于 GitHub 发送邮件是基于最新的问题版本而不是原始版本，因此目标用户会在收件箱中收到精心制作的网络钓鱼邮件，而对于直接查看存储库的人来说，问题本身则显示为空白或无害的标题，例如“加载错误”。

这种伎俩使得事后几乎不可能追踪到网络钓鱼内容的攻击者，因为所有版本都可以被清除。

为了进一步避免被检测到，攻击者使用链接缩短器来掩盖钓鱼 URL，因为 GitHub 会主动将直接 OAuth 授权 URL 标记为可疑。

攻击者还会精心构造模仿官方 GitHub 通知的帐户和存储库名称，使用诸如“GH-Security/alert”之类的名称，因此电子邮件主题乍一看似乎是可信的。

开发者和组织应采取以下措施来降低风险：

• 在点击“授权”之前，务必仔细检查任何 OAuth 应用程序请求的权限，尤其是在请求是通过意外收到的电子邮件发送的情况下。
• 定期审核GitHub账户设置中已授权的OAuth应用，并撤销任何看起来不熟悉的授权应用。
• 请警惕那些敦促您立即采取行动、声称发生安全事件或包含指向外部授权页面链接的通知邮件。
• 通过限制谁可以在公共仓库中创建问题或提及用户来限制仓库交互。
• 启用 GitHub 安全警报并监控访问令牌活动，以便及早发现未经授权的使用。

开发者应该记住，合法的安全工具绝不会通过未经请求的电子邮件通知来请求完整的存储库访问权限。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《黑客滥用 GitHub 问题通知，通过恶意 OAuth 应用向开发者进行网络钓鱼攻击》