(https://i.imgur.com/F3PwFIr.png)
Una campaña de phishing a gran escala ha comprometido casi 12,000 repositorios de GitHub mediante falsos problemas etiquetados como "Alerta de seguridad". Los atacantes engañan a los desarrolladores para que autoricen una aplicación OAuth maliciosa, otorgándoles control total sobre sus cuentas y código.
Método de ataque y engañoLos ciberdelincuentes crean un problema en los repositorios de GitHub con el siguiente mensaje fraudulento:
Citar"Alerta de seguridad: Intento de acceso inusual. Hemos detectado un intento de inicio de sesión en su cuenta de GitHub desde una nueva ubicación o dispositivo".
Todos los mensajes de phishing mencionan actividad sospechosa desde Reikiavik, Islandia, con la dirección IP 53.253.117.8, generando alarma entre los usuarios.
El investigador de ciberseguridad Luc4m detectó esta campaña, que insta a los usuarios a actualizar sus credenciales, revisar sesiones activas y activar la autenticación de dos factores. Sin embargo, los enlaces proporcionados redirigen a una página de autorización de GitHub para la aplicación OAuth fraudulenta "gitsecurityapp".
Permisos Peligrosos SolicitadosEsta aplicación maliciosa solicita permisos altamente riesgosos, entre ellos:
- Repo: Acceso total a repositorios públicos y privados.
- User: Lectura y escritura en el perfil del usuario.
- Read:org: Acceso a la organización, proyectos y equipos.
- Read:discussion / Write:discussion: Control sobre las discusiones.
- Gist: Acceso a GitHub gists.
- Delete_repo: Permiso para eliminar repositorios.
- Workflows: Control total sobre GitHub Actions.
Si un usuario autoriza la aplicación, se genera un token de acceso enviado a una URL maliciosa alojada en onrender.com.
Estado actual y respuesta de GitHubEl ataque comenzó hoy a las 6:52 a.m. ET y sigue activo. El número de repositorios afectados fluctúa, lo que sugiere que GitHub está respondiendo al incidente.
Cómo Proteger tu Cuenta de GitHubSi has autorizado la aplicación maliciosa, sigue estos pasos de seguridad:
- Revoca el acceso de la aplicación OAuth maliciosa en Configuración > Aplicaciones.
- Elimina cualquier GitHub Action desconocida que pueda haberse agregado.
- Revisa y elimina gists privados inesperados.
- Rota todas las credenciales y tokens de acceso inmediatamente.
En conclusión, GitHub ha sido notificado sobre esta campaña de phishing y se espera una respuesta oficial. Para mantener la seguridad de tu cuenta, activa medidas de protección adicionales y verifica regularmente los accesos autorizados.
Fuente: https://www.bleepingcomputer.com/