Les auteurs de menaces se font passer pour les équipes de sécurité et de recrutement de GitHub lors d’attaques de phishing pour détourner des référentiels à l’aide d’applications OAuth malveillantes dans le cadre d’une campagne d’extorsion en cours pour effacer les dépôts compromis.

Depuis au moins février, des dizaines de développeurs ciblés par cette campagne ont reçu de fausses offres d’emploi similaires ou des courriels d’alerte de sécurité de « [email protected] » après avoir été tagué dans des commentaires de spam ajoutés à des problèmes de dépôt aléatoires ou à des demandes d’extraction à l’aide de comptes GitHub compromis.

Les e-mails de phishing redirigent les victimes potentielles vers githubcareers[.]communauté en ligne ou githubtalent[.]en ligne, comme repéré pour la première fois par le chercheur en sécurité CronUp Germán Fernández.

Sur les pages de destination, les utilisateurs sont invités à se connecter à leurs comptes GitHub pour autoriser une nouvelle application OAuth qui demande l’accès aux référentiels privés, aux données personnelles des utilisateurs et la possibilité de supprimer tout référentiel administrable, entre autres.

De nombreux utilisateurs de GitHub qui ont été victimes de ces attaques signalent également que leurs comptes ont été désactivés et qu’ils ont perdu l’accès à tous les dépôts—probablement après que d’autres victimes les ont signalés pour avoir été abusés pour envoyer du spam de commentaires.

Comme l’a rapporté jeudi Breachtrace , après avoir eu accès aux référentiels des victimes, les attaquants effacent le contenu, renomment le référentiel et ajoutent un README.me fichier demandant aux victimes de contacter Telegram pour récupérer les données.

Ils affirment également avoir volé les données des victimes avant de les détruire et créé une sauvegarde qui pourrait aider à restaurer les référentiels effacés.

Pages de destination d’hameçonnage

Breachtrace n’a pas encore reçu de réponse d’un porte-parole de GitHub après avoir contacté la semaine dernière pour plus de détails concernant la campagne d’extorsion Gitloker.

Cependant, le personnel de GitHub répond aux discussions de la communauté sur ces attaques depuis février, affirmant que la campagne cible la fonctionnalité de mention et de notification de GitHub et demandant aux personnes ciblées de signaler cette activité malveillante à l’aide des outils de signalement des abus de la plate-forme de codage.

« Nous comprenons les désagréments causés par ces notifications. Nos équipes travaillent actuellement sur la résolution de ces notifications de phishing non sollicitées », a déclaré un responsable de la communauté GitHub.

« Nous souhaitons rappeler à nos utilisateurs de continuer à utiliser nos outils de signalement d’abus pour signaler toute activité abusive ou suspecte. Il s’agit d’une campagne de phishing et n’est pas le résultat d’une compromission de GitHub ou de ses systèmes. »

Le personnel de GitHub a également conseillé aux utilisateurs de prendre les mesures suivantes pour s’assurer que leurs comptes ne sont pas détournés lors de ces attaques:

  • Ne cliquez sur aucun lien et ne répondez pas à ces notifications. Veuillez les signaler.
  • N’autorisez jamais les applications OAuth inconnues, elles peuvent exposer votre compte GitHub et vos données à un tiers.
  • Examinez périodiquement vos applications OAuth autorisées.

En septembre 2020, GitHub a mis en garde contre une autre campagne de phishing utilisant des e-mails poussant de fausses notifications CircleCI pour voler les informations d’identification GitHub et les codes d’authentification à deux facteurs (2FA) en les relayant via des proxys inversés

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *