Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Hackers comprometen cuentas de GitHub con una notificación falsa de CircleCI
Obanla Opeyemi
7 de octubre de 2022 - Equipo de expertos TuxCare
GitHub advierte de que los ciberatacantes están poniendo en peligro las cuentas de los usuarios a través de una sofisticada campaña de phishing. Los mensajes maliciosos notifican a los usuarios que su sesión de CircleCI ha caducado y que es imprescindible que inicien sesión a través de las supuestas cuentas de GitHub que los atacantes proporcionan mediante un enlace.
En otro correo malicioso, se pide a los usuarios que accedan a sus cuentas de GitHub para aceptar las nuevas condiciones de uso y la política de privacidad de la empresa siguiendo el enlace del mensaje.
Una vez que los usuarios hacen clic en el enlace malicioso, son redirigidos automáticamente a una página de inicio de sesión de GitHub similar, diseñada para robar y filtrar las credenciales introducidas, y el sitio también roba los códigos de contraseña de un solo uso (TOTP) en tiempo real, lo que permite eludir 2FA.
Según los investigadores, además de abarcar cuentas, el atacante también realiza otras acciones maliciosas, como descargar contenido de repositorios privados y crear y añadir nuevas cuentas de GitHub a una organización en caso de que la cuenta comprometida tenga privilegios de gestión organizativa.
Después de obtener acceso no autorizado a la cuenta de usuario, el atacante toma medidas para crear tokens de acceso personales de GitHub, autorizar aplicaciones OAuth o añadir claves SSH para mantener el acceso incluso después de un cambio de contraseña.
GitHub está tomando las medidas necesarias para proteger a los usuarios, incluyendo medidas para restablecer las contraseñas y eliminar las credenciales añadidas maliciosamente para los usuarios afectados. La empresa también notificó a los afectados y suspendió las cuentas controladas por el actor.
Se insta a las organizaciones a que utilicen llaves de seguridad de hardware resistentes al phishing para evitar este tipo de ataques.
Las fuentes de este artículo incluyen un artículo en TheHackerNews.
