Зловмисники знову атакують юзерів GitHub — це фішинг через OAuth

Серед розробників поширився новий тип фішингових атак — зловмисники видають себе за рекрутерів та команду безпеки GitHub і просять перейти за посиланням.

Як стверджує Bleeping Computer, з лютого зафіксовано вже десятки подібних випадків.

Розробникам надсилали фейкові пропозиції роботи або сповіщення від служби безпеки. В останньому випадку листи приходили від “notifications@github.com”.

Користувачів в них просили увійти у свої облікові записи GitHub з метою авторизації через застосунок OAuth, який запитує доступ до приватних сховищ, особистих даних користувачів і можливість видаляти будь-яке сховище.

Багато користувачів GitHub, які стали жертвами цих атак, повідомляють про відключення облікових записів та втрату доступ до всіх репозиторіїв.

Отримавши доступ до сховищ, зловмисники все видаляють, перейменовують сховище, додають файл README.me, і просять вийти з ними на зв’язок через Telegram.

Вони також стверджують, що вкрали дані перед тим, як їх знищити, і створили резервну копію, яка могла б допомогти відновити стерті сховища.

Фішингові листи перенаправляють потенційних жертв на githubcareers[.]online або githubtalentcommunity[.]online, як вперше помітив дослідник безпеки CronUp Герман Фернандес.

Реакція GitHub

«Ми хочемо нагадати нашим користувачам продовжувати використовувати наші інструменти звітування про зловживання, щоб повідомляти про будь-які образливі або підозрілі дії. Це фішингова кампанія, а не результат компрометації GitHub або його систем», — сказав один із менеджерів спільноти GitHub.

Співробітники GitHub також порадили користувачам вжити відповідні заходи безпеки:

• Не натискати на жодні посилання і не відповідати на підозрілі листи.
• Ніколи не авторизовуватись через застосунки типу OAuth, оскільки вони можуть відкрити ваш обліковий запис GitHub і дані третій стороні.
• Періодично переглядати свої авторизовані програми OAuth.