Kampanye Phishing Manfaatkan Notifikasi GitHub, Menyamar Sebagai Y Combinator untuk Curi Kripto

Ahmandonk

Sebuah kampanye phishing berskala besar dilaporkan menargetkan pengguna GitHub dengan taktik baru: menyalahgunakan sistem notifikasi GitHub untuk menyebarkan undangan palsu program Y Combinator (YC) Winter 2026 (W2026). Tujuan serangan ini adalah mencuri aset kripto dari dompet digital para pengembang.

Bagaimana Serangan Dilancarkan

Penyerang membuat ratusan issue di berbagai repositori GitHub, lalu menandai akun-akun target di dalamnya. Karena GitHub secara otomatis mengirimkan notifikasi email ketika sebuah akun disebut, pesan phishing ini berhasil masuk ke kotak masuk korban melalui alamat sah GitHub—sehingga terlihat meyakinkan.

Isi pesan menampilkan undangan untuk mendaftar program pendanaan YC W2026 dengan iming-iming total dana investasi $15 juta. Namun, tautan pendaftaran justru mengarah ke domain palsu yang meniru alamat resmi YC, dengan perbedaan tipografi halus (huruf “i” diganti dengan “l”).

Mekanisme Pencurian Kripto

Halaman palsu tersebut menjalankan JavaScript terselubung yang meminta korban untuk menghubungkan dompet kripto dengan dalih verifikasi menggunakan standar EIP-712 + Ethereum Attestation Service.

Tanggapan Komunitas dan Pihak Terkait

Beberapa pengembang melaporkan repositori yang mencurigakan ini ke GitHub, IC3, dan Google Safe Browsing. GitHub kemudian menghapus akun dan repositori berbahaya tersebut. Hingga kini, belum jelas apakah ada korban yang benar-benar kehilangan aset kripto.

Bagi pengembang yang sempat menghubungkan dompet mereka ke situs palsu tersebut, sangat disarankan segera memindahkan dana ke dompet baru untuk mencegah pencurian di kemudian hari.

Informasi Resmi Y Combinator

Bagi yang tertarik, portal resmi untuk pendaftaran YC Winter 2026 Batch tersedia melalui kanal Y Combinator. Pendaftaran dibuka hingga 10 November 2025, dengan program berlangsung di San Francisco, Januari–Maret 2026.

Sumber: BleepingComputer

Exit mobile version