Цель злоумышленников – кража учетных данных и кодов двухфакторной аутентификации.
https://www.securitylab.ru/upload/ib...u2z35tqag4.jpg
Совсем недавно GitHub выпустила предупреждение о фишинговой кампании, целью которой является кража учетных данных и кодов двухфакторной аутентификации (2FA) пользователей. О начале кампании стало известно 16 сентября 2022 года, когда пользователям начали приходить фейковые сообщения якобы от CircleCI.
Злоумышленники пытаются обмануть жертву двумя способами:<ul><li>В сообщении говорится, что у пользователя истек срок сессии CircleCI, а чтобы ее продлить, необходимо войти в систему, используя учетные данные от своего GitHub-аккаунта, перейдя по прикрепленной к сообщению ссылке.</li>
</ul><ul><li>В сообщении жертве сообщается об изменениях в политике конфиденциальности и условиях использования, которые необходимо принять, перейдя по прикрепленной ссылке и войдя в GitHub-аккаунт.</li>
</ul>Оба способа ведут на одну и ту же страницу, похожую на страницу входа в GitHub. Она используется злоумышленниками для кражи учетных данных и одноразовых паролей, сгенерированных по алгоритму TOTP (Time-based one-time Password), что позволяет обойти 2FA.
Получив доступ, злоумышленники следуют одному их двух сценариев:<ul><li>Создают токены личного доступа (personal access token, PAT), авторизуют OAuth-приложения и добавляют SSH-ключи, чтобы иметь доступ к аккаунтам жертв даже после смены пароля;</li>
</ul><ul><li>Скачивают содержимое приватных репозиториев и добавляют новые учетные записи в репозиторий организации, если обладают достаточными привилегиями.</li>
</ul>Специалисты GitHub сообщают, что уже сбросили пароли пострадавших пользователей и уведомили их о случившемся. Созданные злоумышленниками учетные записи были удалены из корпоративных репозиториев.