网络犯罪分子策划了一场复杂的钓鱼攻击活动，他们利用GitHub的通知系统，冒充知名创业加速器Y Combinator，通过虚假的融资机会通知来针对开发者的加密货币钱包。

此次攻击利用GitHub的问题跟踪系统大规模分发钓鱼通知，通过该平台的合法通知基础设施绕过了传统的电子邮件安全过滤器。

威胁行为者创建了多个GitHub账户，其名称与Y Combinator极为相似，包括ycombinato、ycommbbinator和ycoommbinator，还创建了一个名为ycombinatornotify的恶意GitHub应用程序。

Y Combinator 钓鱼诈骗

攻击者展现出对GitHub的API限制和通知机制的深入理解。

每个恶意仓库在达到GitHub的速率限制阈值前，大约会生成500个议题，每个议题都包含钓鱼内容，并标记大量随机的GitHub用户名，以最大化通知的分发范围。

这些通知看起来很真实，因为它们来自GitHub的官方通知系统，这使得用户很难立即识别出它们是欺诈性的。

这些钓鱼信息声称收件人“已被选中获得资金”，并要求进行钱包验证或授权存款，以获取所谓的Y Combinator投资机会。

这种社会工程学技术明确针对开发者群体对Y Combinator合法申请流程的熟悉度，利用了与被该加速器项目录取相关的声望和吸引力。

此次操作采用了错字蹲守技术，注册了域名y-comblnator.com（将“combinator”中的“I”替换成了“L”），以创建一个足以乱真的Y Combinator官方网站仿制品。

该域名托管了伪造的应用程序页面，旨在从毫无防备的受害者那里窃取加密货币钱包的凭证和私钥。

GitHub的安全团队做出了回应，暂停了这些恶意账户和仓库，但此次攻击通过多个账户进行的分布式特性带来了持续性挑战。

受影响的用户报告称，通知徽章一直存在，需要通过手动API调用来清除，例如使用带有认证令牌的curl -X PATCH等命令将虚假通知标记为已读。

这一事件凸显了协作开发平台容易遭受滥用的脆弱性，在这些平台上，合法的通知系统可能被用作武器，用于大规模钓鱼活动，目标是技术专业人士的加密货币资产——由于这些人可能持有数字资产，因此成为高价值目标。