Хакери залякують розробників фейковими «попередженнями безпеки» GitHub

Дослідники кібербезпеки помітили масштабну фішингову кампанію, яка націлена на майже 12 000 репозиторіїв GitHub. Хакери надсилають фейкові «Попередження безпеки» нібито від адміністрації GitHub, обманом змушуючи розробників встановити шкідливу програму OAuth, яка надає зловмисникам повний контроль над їхніми обліковими записами та кодом. Про це повідомляє Bleeping Computer.

«Попередження системи безпеки: незвичайна спроба доступу. Ми виявили спробу входу у ваш обліковий запис GitHub, яка, здається, була здійснена з нового місця чи пристрою», — йдеться у повідомленні нібито з GitHub.

Усі фішингові повідомлення містять однаковий текст, який попереджає користувачів GitHub про незвичайну активність у їхніх облікових записах із Рейк’явіка (Ісландія) та IP-адресу 53.253.117.8.

Користувач Luc4m першим помітив фальшиве сповіщення системи безпеки, яке попереджає розробників GitHub нібито про те, що їхні облікові записи зламано та що вони повинні оновити свій пароль, перевірити активні сесії, а також увімкнути двофакторну аутентифікацію для захисту своїх облікових записів.

Однак усі посилання для цих рекомендованих дій ведуть на сторінку авторизації GitHub для встановлення програми OAuth “gitsecurityapp”, яка запитує багато дуже ризикованих дозволів, надаючи зловмиснику повний доступ до облікового запису користувача та його репозиторіїв.

Нижче наведено запитувані дозволи та доступ, який вони надають:

• repo: надає повний доступ до публічних і приватних репозиторіїв
• user: можливість читати та писати в профілі користувача
• read:org: перегляд участі в організаціях, проектах та командах
• read: discussion, write:discussion: доступ для читання та запису в обговореннях
• gist: доступ до GitHub gists
• delete_repo: дозвіл на видалення репозиторіїв
• workflows, workflow, write:workflow, read:workflow, update:workflow: контроль над робочими процесами GitHub Actions

Якщо користувач GitHub увійшов у систему та авторизував зловмисну ​​програму OAuth, буде згенеровано маркер доступу, який надсилається на адресу зворотного виклику програми, якою в цій кампанії є різні веб-сторінки, розміщені на onrender.com (Render).