Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Hacker kompromittieren GitHub-Konten mit gefälschter CircleCI-Benachrichtigung
Obanla Opeyemi
7. Oktober 2022. TuxCare-Expertenteam
GitHub warnt davor, dass Cyber-Angreifer durch eine ausgeklügelte Phishing-Kampagne Nutzerkonten kompromittieren. Die bösartigen Nachrichten informieren die Nutzer, dass ihre CircleCI-Sitzung abgelaufen ist und sie sich unbedingt über die angeblichen GitHub-Konten anmelden müssen, die die Angreifer über einen Link bereitstellen.
In einer anderen bösartigen E-Mail werden die Benutzer aufgefordert, sich bei ihren GitHub-Konten anzumelden und die neuen Nutzungsbedingungen und Datenschutzrichtlinien des Unternehmens zu akzeptieren, indem sie dem Link in der Nachricht folgen.
Sobald Benutzer auf den bösartigen Link klicken, werden sie automatisch auf eine ähnlich aussehende GitHub-Anmeldeseite umgeleitet, die darauf ausgelegt ist, die eingegebenen Anmeldedaten zu stehlen und zu exfiltrieren. Die Website stiehlt auch die TOTP-Codes (Time-based One Time Password) in Echtzeit, wodurch eine Umgehung von 2FA ermöglicht wird.
Den Forschern zufolge kann der Angreifer nicht nur Konten umfassen, sondern auch andere böswillige Aktionen durchführen, darunter das Herunterladen privater Repository-Inhalte und das Erstellen und Hinzufügen neuer GitHub-Konten für eine Organisation, falls das kompromittierte Konto über organisatorische Verwaltungsrechte verfügt.
Nachdem der Angreifer unbefugten Zugriff auf das Benutzerkonto erlangt hat, unternimmt er Schritte, um persönliche GitHub-Zugriffstoken zu erstellen, OAuth-Anwendungen zu autorisieren oder SSH-Schlüssel hinzuzufügen, um den Zugriff auch nach einer Passwortänderung aufrechtzuerhalten.
GitHub ergreift die notwendigen Maßnahmen zum Schutz der Nutzer, einschließlich Maßnahmen zum Zurücksetzen von Passwörtern und zum Entfernen böswillig hinzugefügter Anmeldeinformationen für betroffene Nutzer. Das Unternehmen hat auch die Betroffenen benachrichtigt und die von den Akteuren kontrollierten Konten gesperrt.
Unternehmen sollten dringend phishing-resistente Hardware-Sicherheitsschlüssel verwenden, um solche Angriffe zu verhindern.
Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.
