GitHub đã đưa ra một lời khuyên nêu chi tiết về những gì có thể là một chiến dịch lừa đảo đang diễn ra nhắm vào người dùng của họ để lấy cắp thông tin đăng nhập và mã xác thực hai yếu tố (2FA) bằng cách mạo danh nền tảng CircleCI DevOps.
Dịch vụ lưu trữ mã thuộc sở hữu của Microsoft cho biết họ đã biết về cuộc tấn công vào ngày 16 tháng 9 năm 2022, thêm vào đó chiến dịch đã ảnh hưởng đến “nhiều tổ chức nạn nhân”.
Các tin nhắn gian lận yêu cầu thông báo cho người dùng rằng các phiên CircleCI của họ đã hết hạn và họ nên đăng nhập bằng thông tin đăng nhập GitHub bằng cách nhấp vào một liên kết.
Một email giả mạo khác được CircleCI tiết lộ nhắc người dùng đăng nhập vào tài khoản GitHub của họ để chấp nhận Điều khoản sử dụng và Chính sách quyền riêng tư mới của công ty bằng cách nhấp vào liên kết được nhúng trong thư.
Bất kể lời dụ dỗ như thế nào, làm như vậy sẽ chuyển hướng mục tiêu đến trang đăng nhập GitHub trông giống như được thiết kế để lấy cắp và lấy cắp thông tin đăng nhập đã nhập cũng như mã Mật khẩu một lần dựa trên thời gian (TOTP) theo thời gian thực cho kẻ tấn công, cho phép 2FA một cách hiệu quả Đường vòng.
Alexis Wales của GitHub cho biết: “Các tài khoản được bảo vệ bởi khóa bảo mật phần cứng không dễ bị tấn công bởi cuộc tấn công này.
Trong số các chiến thuật khác mà kẻ đe dọa áp dụng khi có được quyền truy cập trái phép vào tài khoản người dùng bao gồm tạo mã thông báo truy cập cá nhân (PAT) GitHub, cấp quyền cho các ứng dụng OAuth hoặc thêm khóa SSH để duy trì quyền truy cập ngay cả sau khi thay đổi mật khẩu.
Kẻ tấn công cũng đã được phát hiện tải xuống nội dung kho lưu trữ riêng tư và thậm chí tạo và thêm tài khoản GitHub mới vào một tổ chức nếu tài khoản bị xâm nhập có quyền quản lý tổ chức.
GitHub cho biết họ đã thực hiện các bước để đặt lại mật khẩu và xóa thông tin đăng nhập được thêm độc hại cho những người dùng bị ảnh hưởng, đồng thời thông báo cho những người bị ảnh hưởng và tạm ngưng các tài khoản do diễn viên kiểm soát. Nó không tiết lộ quy mô của cuộc tấn công.
Công ty đang thúc giục các tổ chức xem xét sử dụng các khóa bảo mật phần cứng chống lừa đảo trực tuyến để ngăn chặn các cuộc tấn công như vậy.
Cuộc tấn công lừa đảo mới nhất xảy ra hơn 5 tháng sau khi GitHub bị một chiến dịch được nhắm mục tiêu cao dẫn đến việc lạm dụng mã thông báo người dùng OAuth của bên thứ ba do Heroku và Travis CI duy trì để tải xuống các kho lưu trữ riêng tư.
.
