Десять из десяти за маскировку. Хакеры используют письма от GitHub и Jira для кражи данных
NewsMakerБезупречное прошлое цифровых платформ теперь работает на злоумышленников.
Обычное письмо от знакомого сервиса давно перестало быть гарантией безопасности. Специалисты Cisco Talos заметили новую волну атак, в которой злоумышленники используют легальные механизмы уведомлений GitHub и Jira, чтобы доставлять фишинговые письма и спам почти без помех. Снаружи такие сообщения выглядят как штатные оповещения от известных платформ, поэтому вызывают меньше подозрений и чаще доходят до адресатов.
По данным Talos, преступники встраивают приманки прямо в содержимое уведомлений, которые сервисы рассылают автоматически. В случае с GitHub схема строится вокруг коммитов. Атакующие создают репозитории и добавляют в описание изменений текст с ложными счетами, «службой поддержки» или другими уловками для кражи данных. После отправки коммита GitHub сам рассылает уведомление со своей инфраструктуры. Такое письмо проходит стандартные проверки подлинности, включая SPF, DKIM и DMARC, а значит, почтовые фильтры реже считают сообщение опасным.
Talos пишет, что за пятидневный период наблюдений 1,2% всего трафика от noreply@github[.]com содержали в теме приманку со словом invoice. Пик пришёлся на 17 февраля 2026 года, когда доля таких писем выросла примерно до 2,89% от суточной выборки.
С Jira злоумышленники действуют иначе. Платформа сама по себе не даёт менять шаблоны писем, но позволяет заполнять поля проекта и приглашений. Атакующие создают проект в Jira Service Management, подставляют обманчивое название и текст приветствия, а затем отправляют приглашения нужным адресатам. В результате Atlassian рассылает письмо в фирменном оформлении, где вредоносная приманка уже встроена в доверенный шаблон. Такой приём особенно опасен для корпоративной среды, где уведомления Jira часто воспринимают как внутренние служебные сообщения.
В Cisco Talos считают, что главная проблема связана не с уязвимостью самих платформ, а с доверием к их инфраструктуре. Преступники используют репутацию SaaS-сервисов как прикрытие и обходят защиту, рассчитанную на проверку домена и технической подлинности письма. Авторы отчёта предлагают компаниям проверять не только отправителя, но и контекст действия внутри сервиса, анализировать журналы GitHub и Atlassian через API , отслеживать аномальные приглашения и создание подозрительных проектов, а уведомления с нетипичным содержанием отправлять на дополнительную проверку.
Обычное письмо от знакомого сервиса давно перестало быть гарантией безопасности. Специалисты Cisco Talos заметили новую волну атак, в которой злоумышленники используют легальные механизмы уведомлений GitHub и Jira, чтобы доставлять фишинговые письма и спам почти без помех. Снаружи такие сообщения выглядят как штатные оповещения от известных платформ, поэтому вызывают меньше подозрений и чаще доходят до адресатов.
По данным Talos, преступники встраивают приманки прямо в содержимое уведомлений, которые сервисы рассылают автоматически. В случае с GitHub схема строится вокруг коммитов. Атакующие создают репозитории и добавляют в описание изменений текст с ложными счетами, «службой поддержки» или другими уловками для кражи данных. После отправки коммита GitHub сам рассылает уведомление со своей инфраструктуры. Такое письмо проходит стандартные проверки подлинности, включая SPF, DKIM и DMARC, а значит, почтовые фильтры реже считают сообщение опасным.
Talos пишет, что за пятидневный период наблюдений 1,2% всего трафика от noreply@github[.]com содержали в теме приманку со словом invoice. Пик пришёлся на 17 февраля 2026 года, когда доля таких писем выросла примерно до 2,89% от суточной выборки.
С Jira злоумышленники действуют иначе. Платформа сама по себе не даёт менять шаблоны писем, но позволяет заполнять поля проекта и приглашений. Атакующие создают проект в Jira Service Management, подставляют обманчивое название и текст приветствия, а затем отправляют приглашения нужным адресатам. В результате Atlassian рассылает письмо в фирменном оформлении, где вредоносная приманка уже встроена в доверенный шаблон. Такой приём особенно опасен для корпоративной среды, где уведомления Jira часто воспринимают как внутренние служебные сообщения.
В Cisco Talos считают, что главная проблема связана не с уязвимостью самих платформ, а с доверием к их инфраструктуре. Преступники используют репутацию SaaS-сервисов как прикрытие и обходят защиту, рассчитанную на проверку домена и технической подлинности письма. Авторы отчёта предлагают компаниям проверять не только отправителя, но и контекст действия внутри сервиса, анализировать журналы GitHub и Atlassian через API , отслеживать аномальные приглашения и создание подозрительных проектов, а уведомления с нетипичным содержанием отправлять на дополнительную проверку.