Các nhà nghiên cứu an ninh mạng vừa phát hiện một chiến dịch tấn công phishing mới, tinh vi nhắm vào người dùng GitHub. Chiến dịch này lợi dụng chính hệ thống thông báo chính thức của GitHub để phát tán các liên kết độc hại và payload đánh cắp thông tin xác thực. Bằng cách khai thác lòng tin của cộng đồng mã nguồn mở vào các kênh liên lạc của GitHub, tội phạm mạng đã thành công vượt qua các bộ lọc email truyền thống và các biện pháp phòng thủ social engineering.

Phân tích Chiến dịch Tấn công Phishing GitHub

Kỹ thuật Giả Mạo Hệ Thống Thông Báo GitHub

Chiến dịch bắt đầu với các email được thiết kế để bắt chước hoàn hảo định dạng thông báo tiêu chuẩn của GitHub. Chúng sao chép logo quen thuộc, phong cách tiêu đề và các liên kết chân trang, khiến người nhận khó phân biệt.

Người dùng nhận được thông báo giả mạo về lời mời cộng tác viên mới, yêu cầu xem xét pull request đang chờ xử lý, hoặc cảnh báo bảo mật trên các repository. Tội phạm mạng sử dụng các kỹ thuật tấn công phishing tinh vi để vượt qua các hàng rào bảo mật.

Tuy nhiên, các liên kết trong những thông báo này lại dẫn hướng đến các miền do kẻ tấn công kiểm soát. Mục tiêu chính là đánh lừa người dùng cung cấp thông tin đăng nhập.

Chiếm Đoạt Thông Tin Xác Thực và Tác Động Hệ Thống

Các miền giả mạo được thiết kế chuyên biệt để thu thập thông tin xác thực GitHub của nạn nhân. Các nhà phân tích bảo mật đã ghi nhận rằng nạn nhân nhập thông tin tên người dùng và mật khẩu vào các trang web giả mạo này đã vô tình cấp quyền truy cập đầy đủ cho kẻ đe dọa vào kho mã và dữ liệu riêng tư của họ. Tham khảo thêm tại: Phát hiện chiến dịch lừa đảo GitHub

Điều này có thể dẫn đến chiếm quyền điều khiển tài khoản, rò rỉ mã nguồn, hoặc các hành vi độc hại khác. Quyền truy cập này cho phép kẻ tấn công thực hiện các thao tác trên repository của nạn nhân.

Mồi Nhử Đặc Biệt: Lợi Dụng Quỹ Phát Triển Gitcoin

Kết Hợp Thương Hiệu để Tăng Cường Độ Tin Cậy

Một điểm đặc biệt trong đợt tấn công này là việc lợi dụng các thông báo về quỹ phát triển của Gitcoin làm mồi nhử. Một email tấn công phishing mẫu đã đề cập đến chương trình “GitHub × Gitcoin Developer Fund 2025”.

Kẻ tấn công dựa vào sức hấp dẫn của các khoản tài trợ cộng đồng và sáng kiến cấp vốn mã nguồn mở. Việc kết hợp hai thương hiệu đáng tin cậy giúp tăng độ tin cậy của tin nhắn, khiến người nhận dễ dàng làm theo mà không nghi ngờ.

Yêu cầu về một khoản tiền gửi hoàn lại, được đề cập trong mồi nhử, tiếp tục thuyết phục người dùng. Mục đích là tạo cảm giác rằng các khoản thanh toán hợp lệ là cần thiết để giữ chỗ cho khoản tài trợ.

Phương Pháp Né Tránh Phát Hiện của Kẻ Tấn Công

Cá Nhân Hóa và Nội Dung Động

Không giống như các tin nhắn phishing thô thiển với lỗi chính tả hoặc văn phong chung chung, những email này sử dụng nội dung động và chi tiết cá nhân.

Kẻ tấn công khai thác thông tin từ các hồ sơ công khai, như tên kho lưu trữ, đóng góp gần đây và số lượng người theo dõi. Họ dùng thông tin này để tạo ra các tin nhắn được cá nhân hóa, phù hợp với từng người nhận.

Các pixel theo dõi nhúng và URL duy nhất cho phép kẻ đe dọa xác định mục tiêu nào đã tương tác với email. Từ đó, chúng kích hoạt các tin nhắn tiếp theo nhằm làm sâu sắc thêm sự xâm nhập.

Kỹ Thuật Vượt Qua Hàng Rào Bảo Mật Email

Để tránh bị phát hiện, những email tấn công phishing này được gửi từ các máy chủ thư bị xâm nhập hoặc botnet. Các botnet này trước đây đã gửi lưu lượng truy cập lành tính, khiến việc phát hiện trở nên khó khăn.

Các cổng bảo mật email chỉ dựa vào danh tiếng miền sẽ kém hiệu quả hơn. Bởi vì các địa chỉ IP nguồn và miền gửi thường có lịch sử sạch.

Việc sử dụng chữ ký DKIM hợp lệ và bản ghi SPF càng làm phức tạp các nỗ lực lọc. Điều này gây khó khăn cho các hệ thống phòng thủ tự động trong việc phân biệt giữa thông báo GitHub hợp pháp và giả mạo độc hại.

Biện Pháp Phòng Ngừa và Tăng Cường An Toàn Thông Tin

Hành Động Cá Nhân và Xác Thực Liên Kết

Các nhà phát triển và quản trị kho lưu trữ cần đặc biệt cảnh giác khi tương tác với các thông báo GitHub không mong đợi. Luôn xác minh URL thực đằng sau bất kỳ liên kết nào bằng cách di chuột qua trước khi nhấp.

Việc xác nhận tin nhắn qua giao diện web GitHub hoặc ứng dụng di động chính thức có thể ngăn chặn lộ thông tin xác thực. Kích hoạt xác thực hai yếu tố (2FA) trên tài khoản GitHub được khuyến nghị mạnh mẽ.

Ngay cả khi thông tin xác thực bị xâm phạm, 2FA vẫn có thể chặn truy cập trái phép. Đây là lớp bảo vệ thiết yếu cho các tài khoản nhạy cảm.

Giải Pháp An Ninh Mạng Cấp Tổ Chức

Các tổ chức có thể củng cố tư thế an ninh mạng email của mình bằng cách triển khai các giải pháp chống tấn công phishing nâng cao. Các giải pháp này phân tích nội dung thư, hành vi người dùng và đích đến liên kết theo thời gian thực.

Các đội ngũ bảo mật cũng nên triển khai chính sách DMARC (Domain-based Message Authentication, Reporting, and Conformance). Các chính sách DMARC có thể từ chối hoặc cách ly các email không được xác thực yêu cầu có nguồn gốc từ github.com.

Đào tạo nhận thức về phishing định kỳ và các bài tập mô phỏng sẽ giúp đảm bảo rằng các nhà phát triển nhận ra các dấu hiệu của mồi nhử tinh vi. Đây là yếu tố quan trọng trong phòng chống các mối đe dọa mới.

Khi hệ sinh thái mã nguồn mở tiếp tục phát triển, các tác nhân đe dọa sẽ tiếp tục tinh chỉnh chiến thuật của mình. Chúng sẽ lợi dụng lòng tin thương hiệu và sự tương tác cộng đồng để triển khai các chiến dịch tấn công phishing ngày càng thuyết phục.

Bằng cách áp dụng các biện pháp phòng thủ đa lớp, duy trì cảnh giác liên tục và nuôi dưỡng văn hóa ưu tiên bảo mật trong các nhà phát triển, các tổ chức có thể giảm thiểu mối đe dọa mạng phát sinh, đồng thời bảo vệ các kho lưu trữ của mình khỏi sự xâm nhập trái phép.