Campaña de phishing masiva Ataca 12,000 Repositorios de GitHub

Iniciado por Dragora, Marzo 16, 2025, 07:14:12 PM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Marzo 16, 2025, 07:14:12 PM

Una campaña de phishing a gran escala ha comprometido casi 12,000 repositorios de GitHub mediante falsos problemas etiquetados como "Alerta de seguridad". Los atacantes engañan a los desarrolladores para que autoricen una aplicación OAuth maliciosa, otorgándoles control total sobre sus cuentas y código.

Método de ataque y engaño

Los ciberdelincuentes crean un problema en los repositorios de GitHub con el siguiente mensaje fraudulento:

Citar"Alerta de seguridad: Intento de acceso inusual. Hemos detectado un intento de inicio de sesión en su cuenta de GitHub desde una nueva ubicación o dispositivo".

Todos los mensajes de phishing mencionan actividad sospechosa desde Reikiavik, Islandia, con la dirección IP 53.253.117.8, generando alarma entre los usuarios.

El investigador de ciberseguridad Luc4m detectó esta campaña, que insta a los usuarios a actualizar sus credenciales, revisar sesiones activas y activar la autenticación de dos factores. Sin embargo, los enlaces proporcionados redirigen a una página de autorización de GitHub para la aplicación OAuth fraudulenta "gitsecurityapp".

Permisos Peligrosos Solicitados

Esta aplicación maliciosa solicita permisos altamente riesgosos, entre ellos:

  • Repo: Acceso total a repositorios públicos y privados.
  • User: Lectura y escritura en el perfil del usuario.
  • Read:org: Acceso a la organización, proyectos y equipos.
  • Read:discussion / Write:discussion: Control sobre las discusiones.
  • Gist: Acceso a GitHub gists.
  • Delete_repo: Permiso para eliminar repositorios.
  • Workflows: Control total sobre GitHub Actions.

Si un usuario autoriza la aplicación, se genera un token de acceso enviado a una URL maliciosa alojada en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

Estado actual y respuesta de GitHub

El ataque comenzó hoy a las 6:52 a.m. ET y sigue activo. El número de repositorios afectados fluctúa, lo que sugiere que GitHub está respondiendo al incidente.

Cómo Proteger tu Cuenta de GitHub

Si has autorizado la aplicación maliciosa, sigue estos pasos de seguridad:

  • Revoca el acceso de la aplicación OAuth maliciosa en Configuración > Aplicaciones.
  • Elimina cualquier GitHub Action desconocida que pueda haberse agregado.
  • Revisa y elimina gists privados inesperados.
  • Rota todas las credenciales y tokens de acceso inmediatamente.

En conclusión, GitHub ha sido notificado sobre esta campaña de phishing y se espera una respuesta oficial. Para mantener la seguridad de tu cuenta, activa medidas de protección adicionales y verifica regularmente los accesos autorizados.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario