一、背景
相信最近大家应该有关注到github的一些repo的issue中可能会发送一些钓鱼链接,类似下面这样。而一般人应该都没有点击链接,或者是点了链接但看到授权的权限太多并没有进行验证。而我由于对github授权应用能做哪些事情不够了解,稀里糊涂的就被钓鱼了。下面我就讲一下我的被钓鱼经历,以及我是如何挽救解决这些事的。
二、钓鱼经过
关于这个问题已经有相关的一些讨论,具体大家可以看下这个链接:github.com/orgs/commun...
掘金上也有老哥提到: juejin.cn/post/733766...
2.1 收到钓鱼通知
钓鱼邮件是在2024年2月21日(星期三)上午0 : 12发送到我的qq邮箱的。邮件内容就如上面那张图所示。邮件是半夜收到的,当时还没睡,看邮件发件人是Github Team Developer Jobs ,再加上这封邮件的发件人是**notifications@github.com**,因此我就发送了警惕,觉得这应该就是github给我们发的一个广告邮件,邮件内容就是可以提供给我们高薪工作。因此我决定第二天早上再看一下这个邮件内容。
2.2 点击钓鱼链接
早上来到公司后,我决定看一下这个广告网站能提供哪些工作给我。因此我点开了邮件中的链接auth.githubtalentcommunity.online (现在该网站已经打不开了,点了也没关系),点开后没有任何其他页面,直接要求登录github。
出于对第三方登录的固有印象,我以为验证登录顶多会获取一些用户名称、头像这些基本信息,所以后面的验证具体内容也没看,直接就通过2fa验证码输入验证过去了,验证完之后进入的是下面这样一个页面(当时留下了截图也在跟其他朋友说这个邮件的事)。
看了下这网站感觉还挺正常的(最起码UI看着还挺精美的😂),然后我就去工作了,打算有时间再来看看。紧接着我就收到了github给我发的授权通过的邮件,我当时看了一眼感叹了一下,卧槽,他竟然需要这么多权限!然后我就没管他去工作了......(不知道当时咋想的😂)
2.3 发现被钓鱼
上午10.06分,距离我授权通过已经过去了半小时。我收到了一个评论被移除的通知邮件。
此时我预感到事情不妙,我也没发评论啊,为什么说我评论包含钓鱼邮件被删除了呢。于是我赶紧登录github看看我到底发了什么评论,这一看不要紧,一看吓一跳。竟然给我发了好多条同样的评论!好一个链式传播啊。评论内容和我最开始收到的邮件内容大部分是一致的,有一些是另外的钓鱼内容。
通过commenter:zhouxing5311的方式可以在github全局搜索搜到自己的评论。当然这个方式有个缺陷就是它并不是按照发布时间倒序排列的。要找到哪些是他最新发布的会有点困难,后面会说明如何通过时间倒序方式查找自己的评论。 
粗略看了下,他选取发布评论的仓库没什么规律,有些是比较流行的,有些则是很久没人维护的。于是意识到被钓鱼的我就开始了一系列的补救措施(希望是亡羊补牢,为时未晚吧😭)。
三、开始补救
3.1 移除应用授权
此时我已经知道问题一定出现在我刚授权登录的应用上,因为他要的权限太多了。于是我按github提醒我的邮件,第一时间去授权管理页取消他的授权。
A third-party OAuth application (Jobs Developers Github) with delete_repo, gist, read:org, repo, user, and write:discussion scopes was recently authorized to access your account.
Visit github.com/settings/co... for more information.
这里没有留下截图,我把授权的应用全部删了,包括之前授权的一个部署平台Railway我也都给移除了(虽然他要的权限不多)。看授权过的应用可通过此链接查看:github.com/settings/ap...
因为是对他授权才导致的一系列事情,那么移除授权后他应该就做不了什么了。于是接下来我得去看看我到底发了多少评论。
3.2 删除评论
虽然理论上此时删除评论已经晚了(因为github已经通过邮件把钓鱼内容发送到所有用户邮箱了),但还是能防止没被提及到的用户查看issue点击钓鱼链接。
由于刚才通过commenter:zhouxing5311搜索的方式不能按时间倒序查看自己发布的评论,因此我又搜索了一会,最终找到通过这个链接可以查看自己按时间倒序发布的评论(还是需要点击进去,然后搜自己用户名才能定位到评论)。 github.com/notificatio...
下图这些已经是发生问题之前自己的正常评论了,当时的异常评论也忘记截图了。 
找到异常评论后我就开始一个个点击进去搜到自己的评论开始删除,最终花了十几分钟,删除了有二三十条评论(心累)。
3.3 重新生成recovery code
因为recovery code是可以在设置中被预览的,当然可能得需要2fa验证才能查看。为了保险起见我也把他进行了重置。因为一旦对方获得了这个code,理论上可以在不知道我密码的情况下登录进我的账户的,所以这个code还是比较重要的,不能被泄露。
查看地址:github.com/settings/au...
3.4 重新配置2fa
保险起见,2fa我也重新进行了配置。
配置地址:github.com/settings/se...
3.5 修改登录密码
既然都做到这了,密码也顺便修改一下保证安全吧!(图个心理安慰)
修改地址:github.com/settings/se...
一系列的安全措施做完了。接下来我急需知道对方(姑且称为黑客吧)究竟还对我的账户做了什么操作是我不知道的。于是接下来就是查看他的表演。
四、黑客的表演
通过github提供的security日志能力,你可以很方便的看到你的账户在过去发生了什么行为,这一点还是比较方便的。
查看地址:github.com/settings/se...
下面的截图中的操作就是黑客给我的账号留下的记录。ip地址是在巴西圣保罗。
他的操作日志有很多,我对他的操作进行了一下归类,主要执行了下面一些操作。
4.1 删库
黑客获得授权后第一时间删除了一些仓库,还好对我来说是一些不重要的仓库,而且我的github没有私有仓库,全都是公开的,也不存在资料外泄的问题。
我猜测他删除这些不重要的仓库是为了给我一个下马威,好为他后面的勒索操作埋伏笔,来告诉我,兄弟,你的仓库我可是能删除的哦,你最好给我转钱,不然你的star比较多的重要仓库我也给你删了(这个后面会说)。
开始我以为删了就算了,因为大部分库我本地也有,大不了重新上传一下。但后来发现没必要这么麻烦,github提供了回收站机制,直接恢复就完了。
查看删除仓库地址:github.com/settings/de...
所以只需要挨个restore一下就ok了。这一点还是很方便的。
4.2 修改用户title
这里开始是被黑客改成了那个什么Jobs的名字,这个似乎不是用户名,只是个title,改回来就ok了。
4.3 创建勒索仓库
黑客的所有操作,最终目的其实就让我看到他创建的勒索仓库,好让我给他转钱。
这个仓库已经被我删了,在回收站中,是私有的仓库(他真的我哭死)。为了写这个文章我给恢复了。
仓库就一个readme,告诉我,兄弟,很紧急,你的数据泄露了,你的数据我也备份了,快来看看详细内容(真是贴心啊)
链接是这个,我直接放出来了,就是个勒索详情。telegra.ph/URGENT-NOTI... 有兴趣大家可以看看,不放心可以无痕窗口查看一下。前半部分内容是这个,要求象征性的比特币支付1000美元,好一个象征性,哈哈。
后面的没有截出来,是告诉你怎样恢复你的文件的。这个网站我具体也没仔细看,有想对黑客进一步了解的可以研究下这个网站。
五、复盘
上面的所有操作做完花了我一上午的时间,心累。后面我就一直关注security log,看看黑客是否还能访问我的账号,观察了一两天之后发现没有任何异常了。
5.1 再次收到钓鱼邮件
在我被钓鱼的期间,我又陆续收到了几封这个钓鱼邮件,不知道被钓鱼的兄弟有没有发现自己账户被盗,是如何补救的。没准有一些可能是通过我的链接被钓鱼的,得说个抱歉。 
5.2 该问题讨论
这个钓鱼评论github上有个专门的讨论地址,当时我被钓鱼后也想看看有没有其他人中招的,也搜索到了这个地址。 github.com/orgs/commun... 。具体内容大家感兴趣可以去了解下。里面提到钓鱼网站已经被举报封禁了。
5.3 关于封号
后面github官方也发现了这个问题,听说对有问题的账号进行了封禁。虽然我的账号第一时间做了挽救措施,没有被封禁。但如果真的有普通用户中招被封禁还是挺冤的,当然自己也少不了责任,毕竟是自己亲自授权的。
5.4 总结
自己被钓鱼归根结底还是自己的安全意识不够,对授权行为不够了解。因为我后来了解到,很多老哥也点了链接,但是一看到需要那么多权限就果断取消授权了,他们真的很机智,比我要强。而且最庆幸的是还好我的账号没有比较重要的私有仓库,没有发生代码泄露。万一有个公司代码在里面,那可就得财源广进了。以后各位老哥们可得提高自己的安全意识,不要像我一样被钓鱼。
关于这个问题如果有同样被钓鱼的老哥欢迎评论区沟通交流,希望我不是一个人😭。