Cyberbezpieczeństwo
Phishing na GitHubie. Fałszywe alerty bezpieczeństwa
Autor. Rubaitul Azad/Unsplash
Na GitHubie od kilku miesięcy trwa kampania phishingowa cyberprzestępców podszywających się pod obsługę platformy. Pod pretekstem alertów bezpieczeństwa lub fałszywych ofert pracy, wysyłają oni użytkownikom linki do podstawionych stron. Dla deweloperów może się to skończyć katastrofalnie.
Ataki z wykorzystaniem podstawionych stron nie są niczym nadzwyczajnym. Jak często opisywaliśmy na łamach CyberDefence24, zwykle przewijają się one przy kampaniach phishingowych mających na celu uzyskać dane do kont bankowych ofiar. W ostatnim czasie, jeden z tego typu ataków wykorzystywał sytuację związaną z cenami energii.
Czytaj też
Alert o zabezpieczeniach czy oferta pracy? To podstęp
Okazuje się jednak, że cyberprzestępcy mogą również wykorzystać nieco zmodyfikowaną wersję tej metody. Jak podaje BleepingComputer, od kilku miesięcy spotykają się z nim użytkownicy GitHuba, którzy otrzymują rzekome alerty o zabezpieczeniach lub oferty pracy za pośrednictwem systemu powiadomień platformy.
Wbrew pozorom, atakujący nie rozsyłają fal e-maili, tylko wykorzystują system powiadomień platformy. Zamieszczają komentarz pod losowo wybranym zgłoszeniem do repozytorium, który treścią ma przypominać alert o naruszeniu zabezpieczeń.
Na samym końcu „alertu” jest oznaczonych kilkanaście kont, co skutkuje wysyłką powiadomienia. W podobny sposób działają atakujący na Facebooku, którzy podszywają się pod obsługę firmy Meta.
Czytaj też
Ataki na GitHubie. Obsługa apeluje o ostrożność
Zawarty w treści „alertu” link prowadzi do podstawionej strony. W odróżnieniu od innych kampanii, w tym przypadku ofiara musi autoryzować dostęp aplikacji OAuth o nazwie „GitHub’s Jobs” (jeżeli powiadomienie dotyczyło oferty pracy) lub „GitHub’s Authorize Security” (w przypadku powiadomienia o zabezpieczeniach). Przyznanie dostępu oznacza, że atakujący będzie mógł zarządzać repozytoriami ofiary – w tym prywatnymi – a także danymi użytkownika.
Co się dzieje po przyznaniu dostępu? Z opisów ofiar wynika, że atakujący wykonują kopie repozytoriów przypisanych do danego konta, a następnie usuwają z nich wszystkie pliki. Według informacji pozostawionych w plikach readme w repozytoriach, w celu odzyskania plików konieczne jest skontaktowanie się z atakującym za pośrednictwem Telegrama. Konta są również wykorzystywane do rozpowszechniania fałszywych powiadomień bezpieczeństwa lub ofert pracy.
Sam GitHub jest świadomy kampanii prowadzonej na platformie. Obsługa zaleca zgłaszanie kont rozpowszechniających spam za pośrednictwem specjalnych narzędzi. W specjalnym apelu wskazano również, aby nie klikać w nieznane linki i nie autoryzować nieznanych aplikacji OAuth.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
