Underc0de
Foros Generales => Noticias Informáticas => Mensaje iniciado por: AXCESS en Junio 11, 2024, 12:56:04 PM
(https://i.postimg.cc/Mp91CdTj/GitHub.png) (https://postimages.org/)
Los actores de amenazas se hacen pasar por los equipos de seguridad y reclutamiento de GitHub en ataques de phishing para secuestrar repositorios utilizando aplicaciones OAuth maliciosas en una campaña de extorsión en curso que borra los repositorios comprometidos.
Desde al menos febrero, docenas de desarrolladores objetivo de esta campaña han recibido ofertas de trabajo falsas similares o correos electrónicos de alerta de seguridad de "[email protected]" después de haber sido etiquetados en comentarios de spam agregados a problemas de repositorios aleatorios o solicitudes de extracción utilizando cuentas de GitHub comprometidas.
Los correos electrónicos de phishing redirigen a las víctimas potenciales a githubcareers[.]online o githubtalentcommunity[.]online, como lo descubrió por primera vez el investigador de seguridad de CronUp, Germán Fernández.
En las páginas de inicio, se solicita a los usuarios que inicien sesión en sus cuentas de GitHub para autorizar una nueva aplicación OAuth que solicita acceso a repositorios privados, datos personales del usuario y la capacidad de eliminar cualquier repositorio administrable, entre otras cosas.
Muchos usuarios de GitHub que han sido víctimas de estos ataques también informan que sus cuentas están deshabilitadas y han perdido el acceso a todos los repositorios, probablemente después de que otras víctimas denunciaron que se había abusado de ellos para enviar comentarios no deseados.
Como se informó, después de obtener acceso a los repositorios de las víctimas, los atacantes borran el contenido, cambian el nombre del repositorio y agregan un archivo README.me que indica a las víctimas que se comuniquen en Telegram para recuperar los datos.
También afirman haber robado los datos de las víctimas antes de destruirlos y haber creado una copia de seguridad que podría ayudar a restaurar los repositorios borrados.
BleepingComputer aún no ha recibido una respuesta de un portavoz de GitHub después de comunicarse la semana pasada para obtener más detalles sobre la campaña de extorsión de Gitloker.
Sin embargo, el personal de GitHub ha estado respondiendo a las discusiones de la comunidad sobre estos ataques desde febrero, diciendo que la campaña apunta a la funcionalidad de mención y notificación de GitHub y pidiendo a los destinatarios que informen sobre esta actividad maliciosa utilizando las herramientas de informes de abuso de la plataforma de codificación.
"Entendemos los inconvenientes causados por estas notificaciones. Nuestros equipos están trabajando actualmente para abordar estas notificaciones de phishing no solicitadas", dijo un administrador de la comunidad de GitHub.
"Queremos recordar a nuestros usuarios que continúen usando nuestras herramientas de informes de abuso para denunciar cualquier actividad abusiva o sospechosa. Esta es una campaña de phishing y no es el resultado de un compromiso de GitHub o sus sistemas".
El personal de GitHub también recomendó a los usuarios que tomen las siguientes medidas para garantizar que sus cuentas no sean secuestradas en estos ataques:
No haga clic en ningún enlace ni responda a estas notificaciones. Por favor repórtelos.
Nunca autorice aplicaciones OAuth desconocidas, ya que pueden exponer su cuenta y sus datos de GitHub a un tercero.
Revise periódicamente sus aplicaciones OAuth autorizadas.
En septiembre de 2020, GitHub advirtió sobre otra campaña de phishing que utilizaba correos electrónicos que enviaban notificaciones falsas de CircleCI para robar credenciales de GitHub y códigos de autenticación de dos factores (2FA) transmitiéndolos a través de servidores proxy inversos.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/gitloker-attacks-abuse-github-notifications-to-push-malicious-oauth-apps/