ΑρχικήsecurityDeepSource: Επαναφέρει τα logins αφού υπάλληλος έπεσε θύμα phishing

DeepSource: Επαναφέρει τα logins αφού υπάλληλος έπεσε θύμα phishing

Το GitHub ενημέρωσε την DeepSource νωρίτερα αυτό το μήνα για τον εντοπισμό κακόβουλης δραστηριότητας που σχετίζεται με την εφαρμογή GitHub, αφού ένας από τους υπαλλήλους της έπεσε θύμα της phishing καμπάνιας Sawfish.

Η DeepSource παρέχει στους προγραμματιστές αυτοματοποιημένα εργαλεία ανάλυσης στατικού κώδικα για τα αποθετήρια GitHub, GitLab και Bitbucket που βοηθούν στον εντοπισμό και την επίλυση προβλημάτων κατά τον έλεγχο κώδικα. Σύμφωνα με τον ιστότοπό της, η λίστα πελατών της startup περιλαμβάνει τις Intel, NASA, Slack και Uber.

DeepSource

Οι χειριστές του Sawfish στοχεύουν τους χρήστες του GitHub από τον Απρίλιο του 2020 ως μέρος μιας σειράς επιθέσεων spearphishing που σχεδίασαν ειδικά για να κλέψουν τα credentials τους χρησιμοποιώντας κάποιες phishing σελίδες που μιμούνται τη σελίδα σύνδεσης του GitHub.

Τα credentials των υπαλλήλων DeepSource που έχουν κλαπεί από το Sawfish

Σύμφωνα με μια ειδοποίηση που έλαβε η DeepSource το πρωί της 11ης Ιουλίου, οι χρήστες του DeepSource έκαναν πολλά αιτήματα από ασυνήθιστες διευθύνσεις IP που πυροδότησαν την προσοχή της ομάδας GitHub Security που άρχισε να παρακολουθεί τη δραστηριότητα ως δυνητικά κακόβουλη.

Ενώ το GitHub δεν μπόρεσε να επισημάνει την πηγή της παραβίασης εκείνη τη στιγμή, μέσα σε δύο ώρες, η DeepSource “αντέστρεψε” όλα τα tokens των χρηστών, τα client secrets και τα ιδιωτικά κλειδιά, καθώς και “όλα τα credentials και τα κλειδιά των υπαλλήλων που είχαν πρόσβαση στα συστήματα παραγωγής.”

Πέντε ημέρες αργότερα, στις 16 Ιουλίου, η ομάδα ασφαλείας GitHub ενημέρωσε την DeepSource ότι ένας από τους υπαλλήλους της είχε πέσει θύμα και του είχαν κλέψει τα credentials της εφαρμογής GitHub στην phishing καμπάνια Sawfish.

“Δυστυχώς, η πολιτική απορρήτου του GitHub την εμποδίζει να μοιραστεί μαζί μας τη λίστα χρηστών που επηρεάζονται, οπότε αποκαλύπτουμε αυτό το ζήτημα δημόσια, ενώ περιμένουμε να ολοκληρώσει την έρευνά του το GitHub”, εξήγησε η DeepSource. “Καταλαβαίνουμε ότι το GitHub θα ειδοποιήσει τους άμεσα επηρεαζόμενους χρήστες σύμφωνα με τις πολιτικές του.”

“Θα πρέπει να επισκεφτείτε τη διεύθυνση https://support.github.com/contact?subject=GH-0000502-3963-3+Log+Request&tags=GH-0000502-3963-3 και να ζητήσετε τα αρχεία καταγραφής σχετικά με τις λήψεις αποθετηρίων και άλλες δραστηριότητες του λογαριασμού σας για να βρείτε οποιαδήποτε ύποπτη δραστηριότητα. “

Η DeepSource ενημέρωσε όλους τους χρήστες μέσω e-mail το απόγευμα της 20ης Ιουλίου σχετικά με αυτό το περιστατικό ασφαλείας και σκοπεύει να ξεκινήσει ένα πρόγραμμα bug bounty ασφαλείας για να ζητήσει από τους ερευνητές ασφαλείας να ερευνήσουν τα συστήματά της για ευπάθειες ασφαλείας.

Η εκστρατεία phishing Sawfish

Τον Απρίλιο, η ομάδα αντιμετώπισης συμβάντων ασφαλείας του GitHub (SIRT) ειδοποίησε όλους τους πελάτες για μια συνεχιζόμενη phishing καμπάνια που είναι τώρα γνωστή ως Sawfish, η οποία συλλέγει ενεργά credentials του GitHub και κωδικούς 2FA των θυμάτων (εάν χρησιμοποιούν έναν κωδικό πρόσβασης TOTP στο mobile app).

Όπως περιγράφεται λεπτομερώς στο GitHub, οι λογαριασμοί που προστατεύονται χρησιμοποιώντας κλειδιά ασφαλείας hardware δεν ήταν ευάλωτοι στην επίθεση Sawfish.

Το GitHub είπε ότι οι επιτιθέμενοι χρησιμοποιούσαν κλεμμένα credentials για να αναλάβουν τους λογαριασμούς των θυμάτων τους και ότι κατεβάζαν επίσης γρήγορα το περιεχόμενο των ιδιωτικών αποθετηρίων, συμπεριλαμβανομένων αυτών που ανήκουν σε λογαριασμούς οργανισμών και άλλων συνεργατών.

“Εάν ο εισβολέας κλέψει επιτυχώς τα credentials ενός χρήστη του GitHub, ενδέχεται να δημιουργήσει γρήγορα προσωπικά tokens πρόσβασης στο GitHub ή να εξουσιοδοτήσει εφαρμογές OAuth στον λογαριασμό προκειμένου να διατηρήσει την πρόσβαση σε περίπτωση που ο χρήστης αλλάξει τον κωδικό πρόσβασής του”, πρόσθεσε το GitHub.

Πριν από ένα χρόνο, οι phishers χρησιμοποιούσαν επίσης την πλατφόρμα του GitHub για να φιλοξενήσουν ένα κιτ ηλεκτρονικού “ψαρέματος”, καταχρώντας τα δωρεάν αποθετήρια της υπηρεσίας για να παραδώσουν malware μέσω των σελίδων github.io.

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS