Σύμφωνα με το GitHub, μια καμπάνια phishing που ξεκίνησε στις 16 Σεπτεμβρίου και στοχεύει τους χρήστες του με μηνύματα ηλεκτρονικού ταχυδρομείου που υποδύονται την πλατφόρμα συνεχούς ενοποίησης και παράδοσης CircleCI, είναι ακόμα ενεργή.
Δείτε επίσης: Το GitHub παρουσιάζει βελτιώσεις 2FA και ποιότητας ζωής για npm
Τα πλαστά μηνύματα ενημερώνουν τους παραλήπτες ότι οι όροι χρήστη και η πολιτική απορρήτου έχουν αλλάξει και ότι πρέπει να συνδεθούν στον λογαριασμό τους στο GitHub για να αποδεχτούν τις τροποποιήσεις και να συνεχίσουν να χρησιμοποιούν τις υπηρεσίες.
Ο στόχος των φορέων απειλής είναι να κλέψουν τα διαπιστευτήρια λογαριασμού GitHub και τους κωδικούς ελέγχου ταυτότητας δύο παραγόντων (2FA) μεταδίδοντάς τους μέσω αντίστροφων διακομιστών μεσολάβησης.
Οι λογαριασμοί που προστατεύονται με κλειδιά ασφαλείας υλικού για έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) δεν είναι ευάλωτοι σε αυτήν την επίθεση.
Το CircleCI έχει επίσης δημοσιεύσει μια ειδοποίηση στα φόρουμ του για να αυξήσει την ευαισθητοποίηση σχετικά με την κακόβουλη καμπάνια, εξηγώντας ότι η πλατφόρμα δεν θα ζητούσε ποτέ από τους χρήστες να εισάγουν διαπιστευτήρια για να δουν τις αλλαγές στους όρους παροχής υπηρεσιών της.
“Τυχόν μηνύματα ηλεκτρονικού ταχυδρομείου από το CircleCI θα πρέπει να περιλαμβάνουν μόνο συνδέσμους προς το circleci.com ή τους υποτομείς του“, υπογραμμίζει η ειδοποίηση από το CircleCI.
Δείτε ακόμα: GitHub: Έως το τέλος του 2023 θα επιβάλει το 2FA σε όλους τους code contributors
Οι τομείς phishing που διανέμουν τα μηνύματα ηλεκτρονικού ψαρέματος προσπαθούν να μιμηθούν αυτούς του επίσημου CircleCI (circleci.com). Μέχρι στιγμής έχουν επιβεβαιωθεί τα εξής:
circle-ci[.]com
emails-circleci[.]com
circle-cl[.]com
email-circleci[.]com
Αφού αποκτήσουν έγκυρα διαπιστευτήρια λογαριασμού, οι φορείς απειλών δημιουργούν μάρκες προσωπικής πρόσβασης (PAT), εξουσιοδοτούν εφαρμογές OAuth και μερικές φορές προσθέτουν κλειδιά SSH στον λογαριασμό για να διατηρηθούν ακόμη και μετά την επαναφορά του κωδικού πρόσβασης.
Το GitHub αναφέρει ότι είδε την εξαγωγή περιεχομένου από ιδιωτικά αποθετήρια σχεδόν αμέσως μετά την παραβίαση. Οι φορείς απειλών χρησιμοποιούν VPN ή υπηρεσίες μεσολάβησης για να κάνουν την ιχνηλάτησή τους πιο δύσκολη.
Εάν ο παραβιασμένος λογαριασμός έχει δικαιώματα διαχείρισης οργανισμού, οι χάκερ δημιουργούν νέους λογαριασμούς χρηστών και τους προσθέτουν στον οργανισμό για να διατηρήσουν την επιμονή τους.
Δείτε επίσης: GitHub: Χάκερ παραβίασε δεκάδες orgs χρησιμοποιώντας κλεμμένα OAuth tokens
Το GitHub έχει αναστείλει λογαριασμούς όπου θα μπορούσαν να εντοπιστούν ενδείξεις απάτης. Η πλατφόρμα έχει επαναφέρει τους κωδικούς πρόσβασης για τους επηρεαζόμενους χρήστες, οι οποίοι θα βλέπουν εξατομικευμένες ειδοποιήσεις για το περιστατικό.
Εάν δεν έχετε λάβει ειδοποίηση από το GitHub αλλά έχετε βάσιμους λόγους να πιστεύετε ότι μπορεί να πέσετε θύμα της εκστρατείας ηλεκτρονικού ψαρέματος, η σύσταση είναι να επαναφέρετε τον κωδικό πρόσβασης του λογαριασμού σας και τους κωδικούς ανάκτησης 2FA, να ελέγξετε τα PAT σας και εάν είναι δυνατόν, να αρχίσετε να χρησιμοποιείτε ένα κλειδί MFA υλικού.
