ハッカーは、GitHubおよびJiraの組み込み通知システムを悪用して、完全に正当に見えるフィッシングメールを送信しています。
これらのメールはプラットフォーム自体のメールサーバーから送信されるため、SPF、DKIM、DMARCなどの標準チェックに合格し、従来のメールゲートウェイでブロックすることが非常に困難です。
メッセージはこれらのサービスの公式メールインフラストラクチャを通じてルーティングされるため、セキュリティ製品はそれらを既知の正当なドメインからの信頼できるトラフィックと見なします。
ほとんどのキャンペーンはフィッシングと認証情報収集に焦点を当てており、アカウントが侵害された後にさらなる攻撃を行うための最初のステップとしてよく使用されます。
2026年2月17日のあるキャンペーン中に、GitHubから観察されたすべてのメールの約2.89%がこの悪用に関連していた可能性があり、問題の規模を強調しています。
Cisco Talosは、GitHubやAtlassian Jiraなどの一般的なSaaSコラボレーションツールの通知パイプラインを通じて提供されるスパムおよびフィッシング活動の最近の急増を観察しています。
5日間のウィンドウにおいて、「[email protected]」からのメッセージの約1.20%が件名に「請求書」という釣り文句を含んでおり、焦点を当てた請求テーマのフィッシング実行を示しています。
プラットフォーム・アズ・ア・プロキシ(PaaP)技法
この新興の「プラットフォーム・アズ・ア・プロキシ」モデルは、正当なSaaSプラットフォームを悪意あるコンテンツの配信プロキシとして使用します。
メールはGitHubまたはJiraによって生成および署名されるため、すべての認証要件を満たし、プロバイダーの評判を継承しています。
これにより、攻撃者の意図を基盤となるインフラストラクチャから効果的に分離し、フィッシングメールに多くのゲートウェイが異議を唱えない組み込みの「承認の印」を与えます。
攻撃者は、コミットアラートやサービスデスク招待などの通常のワークフロー通知内に、ソーシャルエンジニアリング詐欺手口を組み込みます。
ユーザーは、受け取ることに慣れた通知を見て、特に請求書、サポートの問題、または緊急のアカウント問題に言及されている場合、クリックする可能性が高くなります。
GitHubでは、脅威俳優は自動コミット通知システムを悪用しています。リポジトリを作成し、2つの標準コミットフィールド(短い概要とより長い説明)に悪意のあるテキストを含むコミットをプッシュしています。
メールアラートで最初に最も顕著に表示される概要行は、初期の釣り針として作成され、しばしば請求またはアカウントの問題を参照しています。
拡張説明フィールドは、偽の請求明細書、不正なサポート番号、またはフィッシングリンクなどのメインの詐欺コンテンツをホストするために使用されます。
コミットがプッシュされると、GitHubインフラストラクチャは自動的にメールを「out‑28.smtp.github.com」のような正当なSMTPホストから協力者に送信し、有効な「d=github.com」DKIM署名で署名されています。
メッセージの構造とヘッダーが本物であるため、セキュリティフィルターを簡単に通り抜け、ユーザーの受信トレイに直接届きます。
Jira招待状の乗っ取り
Jiraでは、攻撃者は生の通知パイプラインではなく、招待状とサービスデスクワークフローに焦点を当てています。
Jiraサービス管理プロジェクトを設定し、「プロジェクト名」、「ウェルカムメッセージ」、「プロジェクトの説明」などの構成可能なフィールドを悪用して、詐欺手口を挿入しています。
Jiraが自動化された「顧客招待」または「サービスデスク」メールを送信するとき、Atlassianのバックエンドは、このコンテンツを独自の信頼できる、暗号的に署名されたテンプレートに注入します。
被害者は、正当なJiraプロジェクトから送信されているように見える専門的に見えるメッセージを受け取り、フッターにはAtlassianブランディングが含まれています。
Jira通知は企業環境では一般的であり、ITワークフローで重要であることが多いため、これらのメールはめったにブロックされず、フィッシングコンテンツが内部ヘルプデスクまたはプロジェクトアラートになりすまします。
このアクティビティは、組織が大手SaaSプラットフォームからのメールを本来的に安全なものとして扱う、増大する「信頼のパラドックス」を露出しています。
防御者は、特定のSaaSインスタンスと送信者のアイデンティティを特定してチェックし、GitHubおよびAtlassian APIログをSIEM/SOARに取り込んで、疑わしいリポジトリまたはプロジェクトアクティビティを検出し、「通常の」ビジネス使用をプロファイルして、コードやチケッティングツールからの緊急の請求または財務関連の詐欺手口がセマンティック的に異常としてフラグされるようにしてください。
GitHubは強力な開発者の評判のために悪用され、Jiraはビジネスに重要なプロセスにおけるその役割のために活用され、攻撃者が信頼できるブランドを通じて悪意あるコンテンツをロンダリングすることを許可しています。
Cisco Talosは、バイナリドメインレベルの信頼からSaaS通知のためのゼロトラストマインドセットへの移行を推奨しています。
高リスク通知に摩擦を追加し、悪意あるリポジトリまたはJiraプロジェクトのテイクダウンを自動化することで、攻撃者のコストをさらに引き上げ、このPaaPモデルの有効性を低減できます。
翻訳元: https://gbhackers.com/github-and-jira-alerts/
