本文以我亲身遭遇的“GitHub × Gitcoin Developer Fund 2025”钓鱼事件为例,系统梳理其利益链条、作案流程、技术实现与防御措施,帮助技术社区识别并应对新型 Web3 诈骗。
引言
近日,我在 GitHub 收到一封伪装成 “GitHub × Gitcoin Developer Fund 2025” 的邮件通知,声称我已“符合资格”,只需点击链接、通过 Gitcoin Passport 验证钱包并支付“可退还押金”即可获得资助。大量开发者也反馈收到了类似邮件,详见 社区讨论 #174283 。
这种诈骗方式利用了 GitHub 通知系统的权威感,并结合 Web3 钱包授权与押金,伪装成高大上的资助计划,实则是资金和账号窃取的骗局。本文将从利益驱动、作案链条、技术实现到防御措施进行系统分析。
GitHub 通知“套壳”与钓鱼入口
攻击者通过脚本账号在陌生仓库发起 Issue 或 Discussion,并 @ 上千名开发者(包括我),触发 GitHub 的系统通知邮件,轻松绕过垃圾拦截,直接进入收件箱。即便是经验丰富的开发者,也可能因“GitHub 官方通知”形式而放松警惕。
示例链接: 钓鱼 Issue (GitHub Issue,可以放心点击)
钓鱼页面剖析与典型特征
访问钓鱼页面 github-foundation.com 后,无论点击页面哪个位置,都会弹出“Connect Wallet”窗口,支持 MetaMask、Trust Wallet、WalletConnect 等主流钱包。
主要特征如下:
- 域名伪装:
github-foundation.com与官方域名完全不同。 - 全屏诱导:页面无实质信息,所有操作均引导钱包连接。
- 虚假背书:展示 Gitcoin 的真实数据,但脱离上下文。
- 钱包陷阱:授权或支付押金后,资金和权限即被盗取。
目标画像与攻击策略
攻击者优先选择具有一定影响力和资产的开发者账号,如 GitHub Developer Program 成员、拥有 Sponsors、活跃度高等。这类账号更可能点开链接,且钱包资产和仓库权限价值更高。
但同时,攻击者采用批量撒网策略,混合高价值和低价值用户一起投放,只要有少量开发者上钩即可获利。
利益链条与作案流程
攻击者的完整利益链条如下:
- 流量获取:批量账号发帖,@ 大量用户,利用 GitHub 邮件通知背书。
- 转化设计:假域名、假文案、假合作方,制造“官方感”。
- 获利手段:押金支付骗钱、钱包无限授权盗取资产、GitHub 授权用于后续供应链攻击。
- 风险对冲:一次性账号,批量投放,快速跑路。
技术实现与工程化细节
- 利用 GitHub 通知系统“借壳”,提高投递成功率。
- 域名 typosquatting,仿冒 github.com。
- 钱包交互社工,利用“仅签名,不会扣费”降低防备心理。
- 批量 @,覆盖广,攻击成本低。
- 后续利用 GitHub 授权,可能插入恶意代码。
社区反馈与受害情况
在 GitHub Community 讨论区,已有开发者反馈收到同类 spam,说明该骗局已进入大规模传播阶段,并非孤立案例。
防御与应急措施
个人防御建议
- 警惕涉及钱包签名或押金的操作,默认诈骗。
- 启用 GitHub 2FA,定期审计 OAuth App、PAT、SSH Keys,撤销可疑授权。
- 邮件过滤,对标题含
Gitcoin、Fund、Passport、USDC的通知自动打标签。
组织防御建议
- 实施 SSO 与权限最小化原则。
- 限制外部 App 授权,统一官方资金/资助入口。
- 制定快速应急预案,准备撤销密钥与隔离仓库流程。
事后处置 SOP
- 撤销钱包授权;
- 删除 GitHub 可疑授权、Token、SSH;
- 审计仓库 secrets 与 actions;
- 举报钓鱼域名、账号、仓库。
IOC 附录(Indicators of Compromise)
- 钓鱼域名:
github-foundation.com - 常见关键词:
GitHub × Gitcoin Developer Fund 2025、refundable deposit、Gitcoin Passport verification - GitHub 行为特征:批量陌生账号在无关仓库发 Issue/Discussion,@ 上百个无关开发者。
总结
本案例揭示了开源社区与 Web3 场景融合下的新型钓鱼诈骗,攻击者通过 GitHub 通知机制“借壳”,结合钱包授权与押金变现,危险之处在于大规模工程化与平台背书。有效防御需对资金和授权零信任,始终通过官方入口操作,个人与组织均应实施最小权限原则,提升安全意识。