GitHub ostrzega użytkowników przed trwającą kampanią phishingową
Damian S
26 września 2022
Analitycy bezpieczeństwa GitHub odkryli, że przestępcy atakują swoich użytkowników, wysyłając im wiadomości pozornie z CircleCI, platformy dostarczania wykorzystywanej do wdrażania praktyk DevOps.
Wiele firm korzysta na co dzień z GitHub i w dużym stopniu polega na jego usługach. Dla przestępców oznacza to tylko jedno: podszywanie się pod inną firmę w celu kradzieży danych uwierzytelniających swoich klientów.
W obecnej kampanii użytkownicy GitHub, którzy polegają na CircleCI w swoich projektach, otrzymywali e-maile z prostymi stwierdzeniami dotyczącymi wygasłych sesji. Oczywiście cyberprzestępcy próbują skłonić potencjalne ofiary do kliknięcia linków i użycia ich danych uwierzytelniających GitHub.
Tym, co odróżnia ten atak jest to, że atakujący zaprojektowali kampanię tak, aby atakować również konta chronione przez 2FA.
„Kliknięcie odsyłacza przenosi użytkownika na stronę phishingową, która wygląda jak strona logowania GitHub, ale kradnie wszelkie wprowadzone dane uwierzytelniające” – wyjaśniają analitycy bezpieczeństwa. „W przypadku użytkowników z włączonym uwierzytelnianiem dwuskładnikowym (2FA) opartym na TOTP, witryna phishingowa przekazuje również wszelkie kody w czasie rzeczywistym, umożliwiając cyberprzestępcy włamanie się na konta chronione przez 2FA oparte na TOTP”.
Konsekwencje ataku na użytkownika
Jeśli atak na użytkownika się powiedzie, przestępcy mogą utworzyć osobiste tokeny dostępu (PAT) GitHub, a nawet dodać klucze SSH do konta, więc nie ma znaczenia, czy użytkownik zmieni hasło. Pobierają również wszelkie repozytoria ujawnione przez włamanie, a nawet tworzą nowe konta użytkowników GitHub, jeśli konto ofiary ma odpowiednie uprawnienia.
Kampania jest tym bardziej przekonująca, że domeny użyte w ataku phishingowym są bardzo podobne do oficjalnych.
GitHub usunął już poświadczenia dodane przez przestępców dla dotkniętych użytkowników i wysłał powiadomienia do wszystkich kont, których dotyczy problem. Chociaż GitHub usunął wszystkie konta kontrolowane przez atakujących, nadal dobrze jest uważać na podejrzane e-maile lub wiadomości.
Jak zwykle, użytkownicy ze sprzętowymi kluczami bezpieczeństwa nie zostali naruszeni. GitHub zalecił również użytkownikom przejście na WebAuthn w celu zwiększenia bezpieczeństwa.
Należę do działu Webmasterów. Do moich zadań należy tworzenie, poprawianie i pozycjonowanie nowych stron i wpisów na blogu. Aktualnie dalej jestem na etapie kształcenia się jako informatyk.
W wolnym czasie dokształcam się w zakresie kolejnych języków programowania i uczę się tworzenia aplikacji mobilnych. W weekendy lubię zrelaksować się wędkując.