Une vaste campagne de phishing a ciblé près de 12 000 référentiels GitHub avec de faux problèmes d ‘ « alerte de sécurité », incitant les développeurs à autoriser une application OAuth malveillante qui donne aux attaquants un contrôle total sur leurs comptes et leur code.

« Alerte de sécurité: Tentative d’accès inhabituelle Nous avons détecté une tentative de connexion sur votre compte GitHub qui semble provenir d’un nouvel emplacement ou d’un nouvel appareil », indique le problème de phishing de GitHub.

Tous les problèmes de phishing de GitHub contiennent le même texte, avertissant les utilisateurs qu’il s’agissait d’une activité inhabituelle sur leur compte depuis Reykjavik, en Islande, et de l’adresse IP 53.253.117.8.

Faux problème « d’alerte de sécurité » publié dans les référentiels GitHub

Le chercheur en cybersécurité Luc4m a d’abord repéré la fausse alerte de sécurité, qui avertissait les utilisateurs de GitHub que leur compte avait été piraté et qu’ils devaient mettre à jour leur mot de passe, examiner et gérer les sessions actives et activer l’authentification à deux facteurs pour sécuriser leurs comptes.

Cependant, tous les liens pour ces actions recommandées mènent à une page d’autorisation GitHub pour une application OAuth « gitsecurityapp » qui demande de nombreuses autorisations très risquées (étendues) et permettrait à un attaquant un accès complet au compte et aux référentiels d’un utilisateur.

Autorisations demandées par une application OAuth malveillante

Les autorisations demandées et l’accès qu’elles fournissent sont répertoriés ci-dessous:

  • dépôt: Donne un accès complet aux dépôts publics et privés
  • utilisateur: Possibilité de lire et d’écrire sur le profil de l’utilisateur
  • lire: org: Lire l’appartenance à l’organisation, les projets de l’organisation et l’appartenance à l’équipe
  • lire: discussion, écrire: discussion: Accès en lecture et écriture aux discussions
  • essentiel: Accès aux essentiels de GitHub
  • delete_repo: Autorisation de supprimer des dépôts
  • flux de travail, flux de travail, écriture: flux de travail, lecture: flux de travail, mise à jour: flux de travail: Contrôle des flux de travail des actions GitHub

Si un utilisateur GitHub se connecte et autorise l’application OAuth malveillante, un jeton d’accès sera généré et renvoyé à l’adresse de rappel de l’application, qui dans cette campagne a été hébergée sur diverses pages Web onrender.com (Rendu).

Lien d’autorisation OAuth avec un rappel vers un onrender.com page suivante

La campagne de phishing a débuté ce matin à 6h52 HE et se poursuit, avec près de 12 000 référentiels ciblés par l’attaque. Cependant, le nombre fluctue, indiquant que GitHub répond probablement à l’attaque.

Faux problèmes d’alerte de sécurité créés dans les référentiels GitHub

Si vous avez été touché par cette attaque de phishing et que vous avez autorisé par erreur l’application OAuth malveillante, vous devez immédiatement révoquer son accès en accédant aux paramètres GitHub, puis aux Applications.

À partir de l’écran Applications, révoquez l’accès à toutes les applications GitHub ou applications OAuth inconnues ou suspectes. Dans cette campagne, vous devez rechercher des applications portant le même nom que « git security app ».’

Vous devez ensuite rechercher des actions GitHub nouvelles ou inattendues (flux de travail) et si des listes privées ont été créées.

Enfin, faites pivoter vos informations d’identification et vos jetons d’autorisation.

Breachtrace a contacté GitHub à propos de la campagne de phishing et publiera cette histoire lorsque nous aurons une réponse.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *