Rozsáhlá phishingová kampaň cílila na téměř 12 000 repozitářů na GitHubu pomocí falešných „Bezpečnostních upozornění“, která vývojáře klamala k autorizaci škodlivé OAuth aplikace, jež útočníkům poskytuje plnou kontrolu nad jejich účty a kódem.

„Bezpečnostní upozornění: Neobvyklý pokus o přihlášení. Zaznamenali jsme pokus o přihlášení k vašemu GitHub účtu, který se zdá být z nového umístění nebo zařízení,“ stojí v phishingovém upozornění na GitHubu.

Všechna phishingová upozornění na GitHubu obsahují stejný text, který varuje uživatele před neobvyklou aktivitou na jejich účtu z Reykjavíku na Islandu a IP adresy 53.253.117.8.

Kyberbezpečnostní expert Luc4m jako první odhalil falešné bezpečnostní upozornění, které varovalo uživatele GitHubu, že jejich účet byl napaden, a doporučovalo jim aktualizovat heslo, zkontrolovat a spravovat aktivní relace a povolit dvoufaktorové ověřování pro zabezpečení účtu.

Nicméně všechny odkazy na tyto doporučené akce vedou na stránku autorizace GitHubu pro OAuth aplikaci „gitsecurityapp“, která požaduje velmi riziková oprávnění

Požadovaná oprávnění a přístup, který poskytují, jsou uvedeny níže:

– repo: Poskytuje plný přístup k veřejným i soukromým repozitářům

– user: Možnost číst a zapisovat do uživatelského profilu

– read:org: Čtení členství v organizacích, projektů organizací a členství v týmech

– read:discussion, write:discussion: Čtení a zápis do diskusí

– gist: Přístup k GitHub gists

– delete_repo: Oprávnění k mazání repozitářů

– workflows, workflow, write:workflow, read:workflow, update:workflow: Ovládání pracovních postupů GitHub Actions

Pokud se uživatel GitHubu přihlásí a autorizuje škodlivou OAuth aplikaci, bude vygenerován přístupový token a odeslán zpět na adresu zpětného volání aplikace, která v této kampani zahrnovala různé webové stránky hostované na onrender.com (Render).

Zdroj: BleepingComputer

Obrázek: GitHub

Zdroj: IT SECURITY NETWORK NEWS  

Zdroj: ICT NETWORK NEWS