Les attaquants ciblent les référentiels GitHub, effacent leur contenu et demandent aux victimes de contacter Telegram pour plus d’informations.

Ces attaques font partie de ce qui ressemble à une campagne en cours repérée pour la première fois mercredi par Germán Fernández, chercheur en sécurité à la société chilienne de cybersécurité CronUp.

L’acteur menaçant derrière cette campagne—qui gère Gitloker sur Telegram et se fait passer pour un analyste des incidents cybernétiques—compromet probablement les comptes GitHub des cibles en utilisant des informations d’identification volées.

Par la suite, ils prétendent voler les données des victimes, créant une sauvegarde qui pourrait aider à restaurer les données supprimées. Ils renomment ensuite le référentiel et ajoutent un seul README.me fichier, demandant aux victimes de contacter Telegram.

« J’espère que ce message vous trouve bien. Il s’agit d’un avis urgent pour vous informer que vos données ont été compromises et que nous avons sécurisé une sauvegarde », peut-on lire dans les notes de rançon.

Lorsque Breachtrace a contacté GitHub plus tôt dans la journée pour plus de détails concernant la campagne d’extorsion Gitloker, un porte-parole n’était pas immédiatement disponible pour commenter.

​Après des attaques précédentes contre des utilisateurs de GitHub, la société a conseillé aux utilisateurs de changer leurs mots de passe pour sécuriser leurs comptes contre les accès non autorisés. Cela devrait protéger contre les actions malveillantes telles que l’ajout de nouvelles clés SSH, l’autorisation de nouvelles applications ou la modification des membres de l’équipe.

Pour empêcher les attaquants de compromettre votre compte GitHub et de détecter les activités suspectes, vous devez également:

  • Activez l’authentification à deux facteurs.
  • Ajoutez une clé d’accès pour une connexion sécurisée et sans mot de passe.
  • Examinez et révoquez les accès non autorisés aux clés SSH, déployez les clés et les intégrations autorisées.
  • Vérifiez toutes les adresses e-mail associées à votre compte.
  • Consultez les journaux de sécurité des comptes pour suivre les modifications apportées au référentiel.
  • Gérez les webhooks sur vos référentiels.
  • Recherchez et révoquez toutes les nouvelles clés de déploiement.
  • Passez régulièrement en revue les commits et collaborateurs récents pour chaque référentiel.

Couramment ciblés dans les attaques de vol de données
Ce n’est pas la première fois que des comptes GitHub sont compromis pour voler des données dans les référentiels privés des utilisateurs.

Vers mars 2020, des pirates informatiques ont également compromis le compte de Microsoft, la société mère de la plate-forme de développement depuis juin 2018, volant plus de 500 Go de fichiers dans les référentiels privés de Redmond.

Alors que les fichiers volés contenaient principalement des échantillons de code, des projets de test et d’autres éléments génériques (rien de significatif pour Microsoft à craindre), les experts en sécurité craignaient que des clés API privées ou des mots de passe aient également été accidentellement exposés lors de la violation.

Un acteur de la menace désormais notoire connu sous le nom de ShinyHunters a également confirmé la nature sans conséquence des données volées en les divulguant gratuitement sur un forum de pirates informatiques après avoir d’abord prévu de vendre les fichiers volés au plus offrant.

En septembre 2020, GitHub a mis en garde contre une campagne de phishing ciblant les utilisateurs pour compromettre leurs comptes. La campagne a utilisé des courriels poussant de fausses notifications CircleCI pour voler leurs informations d’identification GitHub et leurs codes d’authentification à deux facteurs (2FA) en les relayant via des proxys inversés.

GitHub a déclaré que les attaquants ont presque immédiatement commencé à exfiltrer les données des référentiels privés des victimes après la compromission, ajoutant de nouveaux comptes d’utilisateurs aux organisations pour maintenir la persistance si elles utilisaient des autorisations de gestion.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *