O campanie extinsa de phishing a vizat aproape 12.000 de repozitorii GitHub cu probleme false de „Alerta de securitate”, pacalind dezvoltatorii sa autorizeze o aplicatie OAuth malitioasa care acorda atacatorilor control total asupra conturilor si codului lor.
„Alerta de securitate: Tentativa de acces neobisnuita Am detectat o incercare de conectare la contul tau GitHub care pare sa fie de la o locatie sau dispozitiv nou”, se arata in problema de phishing de pe GitHub.
Toate problemele de phishing de pe GitHub contin acelasi text, avertizand utilizatorii ca a existat activitate neobisnuita pe contul lor din Reykjavik, Islanda, si adresa IP 53.253.117.8.
Cercetatorul in securitate cibernetica Luc4m a observat initial alerta falsa de securitate, care a avertizat utilizatorii GitHub ca contul lor a fost compromis si ca ar trebui sa isi actualizeze parola, sa isi revizuiasca si sa isi gestioneze sesiunile active, si sa activeze autentificarea in doi pasi pentru a-si securiza conturile.
Cu toate acestea, toate linkurile pentru aceste actiuni recomandate duc catre o pagina de autorizare GitHub pentru o aplicatie OAuth „gitsecurityapp” care solicita multe permisiuni foarte riscuri (scopes) si ar permite unui atacator acces complet la contul si repozitoriile unui utilizator.
Permisiunile solicitate si accesul pe care il ofera sunt enumerate mai jos:
Daca un utilizator GitHub se autentifica si autorizeaza aplicatia OAuth malitioasa, un token de acces va fi generat si trimis inapoi la adresa de apel a aplicatiei, care in aceasta campanie a fost diferite pagini web gazduite pe onrender.com (Render).
Campania de phishing a inceput astazi dimineata la 6:52 AM ET si este in desfasurare, cu aproape 12.000 de repozitorii vizate in atac. Cu toate acestea, numarul fluctueaza, indicand ca GitHub probabil reactioneaza la atac.
Daca ai fost afectat de acest atac de phishing si ai autorizat din greseala aplicatia OAuth malitioasa, ar trebui sa iti revoci imediat accesul intrand in Setarile GitHub si apoi la Aplicatii.
De pe ecranul Aplicatii, revoca accesul la orice Aplicatii GitHub sau aplicatii OAuth care sunt necunoscute sau suspecte. In aceasta campanie, ar trebui sa cauti aplicatii numite similar cu ‘gitsecurityapp’.
Ar trebui apoi sa cauti Actiuni GitHub (Fluxuri de lucru) noi sau neasteptate si daca au fost create gisturi private.
In cele din urma, roteste-ti datele de autentificare si tokenurile de autorizare.
BleepingComputer a contactat GitHub cu privire la campania de phishing si va actualiza aceasta poveste cand vom primi un raspuns.
Bazat pe o analiza a 14M actiuni malitioase, descopera cele 10 tehnici MITRE ATT&CK din spatele a 93% din atacuri si cum sa te aperi impotriva lor.
Aplicatiile malefice Adobe, DocuSign targeteaza conturile Microsoft 365 prin OAuth
Atacurile GitVenom abuzeaza sute de repozitorii GitHub pentru a fura criptomonede
Emailul de phishing Coinbase pacaleste utilizatorii cu o migrare falsa a portofelului
Atacul ClickFix livreaza infostealers, RAT-uri in emailuri false de la Booking.com
Orasele din SUA avertizeaza cu privire la valul de mesaje de phishing pentru parcarea neplatita
Leave a Reply