26/09/22
Совсем недавно GitHub выпустила предупреждение о фишинговой кампании, целью которой является кража учетных данных и кодов двухфакторной аутентификации (2FA) пользователей, передает Securitylab. О начале кампании стало известно 16 сентября 2022 года, когда пользователям начали приходить фейковые сообщения якобы от CircleCI.
Злоумышленники пытаются обмануть жертву двумя способами:
- В сообщении говорится, что у пользователя истек срок сессии CircleCI, а чтобы ее продлить, необходимо войти в систему, используя учетные данные от своего GitHub-аккаунта, перейдя по прикрепленной к сообщению ссылке.
- В сообщении жертве сообщается об изменениях в политике конфиденциальности и условиях использования, которые необходимо принять, перейдя по прикрепленной ссылке и войдя в GitHub-аккаунт.
Оба способа ведут на одну и ту же страницу, похожую на страницу входа в GitHub. Она используется злоумышленниками для кражи учетных данных и одноразовых паролей, сгенерированных по алгоритму TOTP (Time-based one-time Password), что позволяет обойти 2FA.
Получив доступ, злоумышленники следуют одному их двух сценариев:
- Создают токены личного доступа (personal access token, PAT), авторизуют OAuth-приложения и добавляют SSH-ключи, чтобы иметь доступ к аккаунтам жертв даже после смены пароля;
- Скачивают содержимое приватных репозиториев и добавляют новые учетные записи в репозиторий организации, если обладают достаточными привилегиями.
Специалисты GitHub сообщают, что уже сбросили пароли пострадавших пользователей и уведомили их о случившемся. Созданные злоумышленниками учетные записи были удалены из корпоративных репозиториев.
