フィッシング攻撃で GitHub のセキュリティチームや採用チームになりすまし、悪意のある OAuth アプリを使ってリポジトリを乗っ取り、侵害されたリポジトリを消去する恐喝キャンペーンが現在進行中です。
少なくとも2月以降、このキャンペーンで標的とされた数十人の開発者が、侵害されたGitHubアカウントを使ってランダムなリポジトリの課題やプルリクエストに追加されたスパムコメントにタグ付けされた後、”notifications@github.com “から同様の偽の求人や セキュリティ警告メールを受け取っている。
フィッシングメールは、CronUpのセキュリティ研究者であるGermán Fernándezが最初に発見したように、潜在的な被害者をgithubcareers[.]onlineまたはgithubtalentcommunity[.]onlineにリダイレクトする。
ランディング・ページでは、ユーザーはGitHubアカウントにサインインし、プライベート・リポジトリへのアクセスや個人ユーザー・データ、管理可能なリポジトリの削除機能などを要求する新しいOAuthアプリを承認するよう求められる。
このような攻撃の被害に遭ったGitHubユーザーの多くは、アカウントが無効化され、すべてのリポジトリにアクセスできなくなったと報告している。
木曜日に報告されたように、攻撃者は被害者のリポジトリにアクセスした後、内容を消去し、リポジトリの名前を変更し、データを回復するために被害者にTelegramで連絡を取るよう指示するREADME.meファイルを追加する。
また、被害者のデータを破壊する前に盗み出し、消去されたリポジトリの復元に役立つバックアップを作成したと主張している。
は先週、Gitlokerの恐喝キャンペーンに関する詳細を問い合わせたが、GitHubの広報担当者からの返事はまだない。
しかし、GitHubのスタッフは2月以来、これらの攻撃に関するコミュニティの議論に返信しており、このキャンペーンはGitHubの言及と通知機能を標的にしており、標的となった人々にはコーディング・プラットフォームの不正使用報告ツールを使ってこの悪質な活動を報告するよう求めていると述べている。
「このような通知によってご迷惑をおかけしていることは理解しています。私たちのチームは現在、このような迷惑なフィッシング通知への対処に取り組んでいます。
「不正利用や疑わしい行為については、引き続き不正利用報告ツールをご利用ください。これはフィッシング・キャンペーンであり、GitHubやそのシステムが侵害された結果ではありません”
GitHubのスタッフはまた、このような攻撃でアカウントが乗っ取られないよう、以下の対策をとるようユーザーにアドバイスしている:
- リンクをクリックしたり、通知に返信したりしないでください。リンクをクリックしたり、これらの通知に返信したりしないでください。
- 不明なOAuthアプリを承認しないでください。GitHubアカウントやデータが第三者に公開される可能性があります。
- 許可したOAuthアプリを定期的に見直してください。
2020年9月、GitHubは偽のCircleCI通知をプッシュするメールを使い、リバースプロキシ経由でGitHubの認証情報と二要素認証(2FA)コードを盗む別のフィッシングキャンペーンについて警告しました。
Comments