Título: Notificações do GitHub abusadas para se passar pelo Y Combinator por roubo de criptografia
Data: 2025-09-24 12:43:33
Autor: Inteligência Against Invaders
URL: https://datalake.azaeo.com/news-againstinvaders-com/07dd3cac6e2b9d2afc210bb6db0142d1/notificacoes-do-github-abusadas-para-se-passar-pelo-y-combinator-por-roubo-de-criptografia/1306/

Uma campanha massiva de phishing direcionada aos usu&aacute;rios do GitHub com drenadores de criptomoedas, entregues por meio de convites falsos para o programa Y Combinator (YC) W2026.
A Y Combinator &eacute; uma aceleradora de startups que financia e orienta projetos em seus est&aacute;gios iniciais e conecta fundadores a uma rede de ex-alunos e empresas de capital de risco.
O invasor abusou do sistema de notifica&ccedil;&atilde;o do GitHub para entregar as mensagens fraudulentas, criando problemas em v&aacute;rios reposit&oacute;rios e marcando usu&aacute;rios-alvo.
Ao mencionar um nome de conta em um problema, o GitHub envia automaticamente uma notifica&ccedil;&atilde;o. Como o e-mail vem de uma fonte leg&iacute;tima, ele foi direto para a caixa de entrada dos destinat&aacute;rios pretendidos.
A isca usada na campanha foi um convite para se inscrever no Winter 2026 Batch (W2026), a pr&oacute;xima rodada de inscri&ccedil;&otilde;es para financiamento da YC, supostamente prometendo um total de US$ 15 milh&otilde;es.
Os desenvolvedores relataram ter visto at&eacute; 500 problemas abertos a partir de um novo usu&aacute;rio criado h&aacute; apenas uma semana. No final do problema, o invasor mencionou uma lista de nomes de usu&aacute;rio para receber a notifica&ccedil;&atilde;o.
O BleepingComputer viu uma lista de cerca de 30 usu&aacute;rios-alvo e n&atilde;o parece ser um terreno comum para todos eles, com base nos projetos listados.
No entanto,o objetivo do invasor era roubar criptomoedae &eacute; mais prov&aacute;vel que um desenvolvedor tenha uma carteira digital.


Na realidade, assinar a verifica&ccedil;&atilde;o autoriza transa&ccedil;&otilde;es maliciosas e as carteiras s&atilde;o drenadas dos criptoativos.

est&aacute; dispon&iacute;vel aqui. O prazo para se inscrever nesta rodada &eacute; 10 de novembro, e o lote acontecer&aacute; no pr&oacute;ximo ano em S&atilde;o Francisco entre janeiro e mar&ccedil;o.


Bill Toulas    
              Bill Toulas &eacute; redator de tecnologia e rep&oacute;rter de not&iacute;cias de seguran&ccedil;a da informa&ccedil;&atilde;o com mais de uma d&eacute;cada de experi&ecirc;ncia trabalhando em v&aacute;rias publica&ccedil;&otilde;es online, cobrindo c&oacute;digo aberto, Linux, malware, incidentes de viola&ccedil;&atilde;o de dados e hacks.
            

Voc&ecirc; tamb&eacute;m pode gostar: