GitHub 网络钓鱼活动清除存储库,勒索受害者

阅读量47784

发布时间 : 2024-06-12 10:57:30

GitHub 用户正成为网络钓鱼和勒索活动的目标,该活动利用该网站的通知系统和恶意 OAuth 应用程序来诈骗受害者。

2 月份开启的GitHub 社区讨论显示,该活动已持续近四个月,CronUp 安全研究员 Germán Fernández 上周在社交媒体上发布了一篇帖子,对这一骗局进行了新的阐释。

当目标用户的用户名在评论中被提及(即标记)时,他们就会被卷入骗局,这会触发从notifications@github.com(一个合法的GitHub电子邮件地址)向他们发送电子邮件。

攻击者留下的评论被设计成看起来像是来自 GitHub 员工的电子邮件,收到通知电子邮件的毫无戒心的用户可能没有意识到他们正在阅读的是被提及的评论的内容,而不是直接从 GitHub 发送的电子邮件。

GitHub 社区讨论的截图显示,表明该电子邮件源自他们被标记的评论的唯一迹象是主题行(以“Re:”开头),以及电子邮件底部的一行,内容是“您收到此邮件是因为您被提及了。”

这些钓鱼评论声称是 GitHub 员工向用户提供工作机会或提醒用户注意所谓的安全漏洞。这些评论包含一个类似于 GitHub 域名的网站链接,包括 githubcareers[.]online 和 githubtalentcommunity[.]online,这会引导目标用户通过 OAuth 向外部应用授予对其帐户和存储库的某些访问权限和控制权。

如果此请求获得批准,攻击者将擦除用户的存储库内容,并用 README 文件替换它们,指示用户联系 Telegram 上名为“gitloker”的用户以恢复其数据。Gitloker 威胁行为者还使用受感染的帐户发布更多评论,从而触发更多网络钓鱼电子邮件,使受害者的帐户面临被删除的危险,因为其他用户举报了该骗局。

Cofense 网络情报团队经理 Max Gannon 在给 SC Media 的电子邮件中表示:“威胁者冒充合法公司以获取内容访问权限并不是什么新鲜事,但威胁者为了获取访问权限不惜如此大费周章的情况并不常见。更不寻常的是,威胁者在获得访问权限后,似乎只使用这些账户进行勒索,而不是执行更高级的操作,例如将恶意软件上传到存储库以感染更多人。”

Gannon 指出,Gitloker 声称已经复制了数据,并且可能也在寻找凭证和漏洞,但也可能是低技能攻击者,希望通过勒索计划快速赚钱。无论如何,Gitloker 攻击表明通过 GitHub 进行供应链攻击的可能性,“这再次证明了公司需要跟踪他们使用的代码是谁的,以及代码来源是否已被泄露,”Gannon 说。

费尔南德斯的帖子包含了更多与 Gitloker 电报有关的敲诈勒索骗局的证据,其中包括 4 月份的一次威胁,如果不支付 25 万美元,就会泄露据称在某个组织的 GitHub 存储库中发现的机密信息;另一次是在 2 月初,要求在 24 小时内支付 1,000 美元,以防止来自未指明的受感染来源的数据泄露。

保护你的 GitHub 帐户免受 Gitloker 及类似诈骗的侵害
GitHub 至少从 2 月份就已经意识到了 Gitloker 的网络钓鱼和勒索活动,一名员工在社区讨论中表示,“我们的团队目前正在努力解决这些未经请求的网络钓鱼通知。”

除了建议用户利用 GitHub 的滥用报告工具来举报垃圾邮件外,该工作人员还建议用户不要点击可疑邮件中的链接或回复这些邮件,警惕授权可能将用户的 GitHub 数据泄露给第三方的OAuth 应用,并定期检查与用户帐户绑定的授权 OAuth 应用。用户应撤销对任何未使用或可疑 OAuth 应用的访问权限。

该工作人员还指出,GitHub 不会通过任何形式的公开通知招募人才,并且网络钓鱼活动并不是 GitHub 本身受到任何攻击的结果。

GitHub 发言人还告诉 SC Media,如果用户认为自己的帐户可能已被入侵,则应检查其活跃的 GitHub 会话和个人访问令牌,更改其 GitHub 密码并重置其双因素恢复代码。

GitHub 发言人在一封电子邮件中表示: “GitHub 会调查我们平台上所有滥用或可疑活动的报告,并在内容或活动违反我们的可接受使用政策时采取行动。”

GitHub 并未回答有关其通知系统是否针对该活动做出了任何更改以及截至 6 月该活动在网站上的普及程度的问题。

Cequence Security 驻地黑客 Jason Kent 在给 SC Media 的一封电子邮件中为 GitHub 用户提供了更多建议。

“确保你知道你挂接到存储库的应用程序是合法的。你怎么知道的?假设所有联系人都是钓鱼的,并验证来源。此外,在你做任何这些事情之前,请在 GitHub 论坛上询问此 OAUTH 服务是否合法且是否已成功使用,”Kent 说。“制定一个不包括 GitHub 的备份策略。如果整个服务都崩溃了,你就可以恢复,如果有人删除你的存储库,你就可以做好准备。”

本文转载自:

如若转载,请注明出处: https://www.scmagazine.com/news/github-phishing-campaign-wipes-repos-extorts-victims

安全客 - 有思想的安全新媒体

分享到:微信
+13赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66