• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Злоумышленники крадут GitHub-аккаунты, подделывая уведомления от CircleCI

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 4ч 33м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

Совсем недавно GitHub выпустила предупреждение о фишинговой кампании, целью которой является кража учетных данных и кодов двухфакторной аутентификации (2FA) пользователей. О начале кампании стало известно 16 сентября 2022 года, когда пользователям начали приходить фейковые сообщения якобы от CircleCI.

Злоумышленники пытаются обмануть жертву двумя способами:
  1. В сообщении говорится, что у пользователя истек срок сессии CircleCI, а чтобы ее продлить, необходимо войти в систему, используя учетные данные от своего GitHub-аккаунта, перейдя по прикрепленной к сообщению ссылке.
  2. В сообщении жертве сообщается об изменениях в политике конфиденциальности и условиях использования, которые необходимо принять, перейдя по прикрепленной ссылке и войдя в GitHub-аккаунт.
Оба способа ведут на одну и ту же страницу, похожую на страницу входа в GitHub. Она используется злоумышленниками для кражи учетных данных и одноразовых паролей, сгенерированных по алгоритму TOTP (Time-based one-time Password), что позволяет обойти 2FA.

Получив доступ, злоумышленники следуют одному их двух сценариев:
  1. Создают токены личного доступа (personal access token, PAT), авторизуют OAuth-приложения и добавляют SSH-ключи, чтобы иметь доступ к аккаунтам жертв даже после смены пароля;
  2. Скачивают содержимое приватных репозиториев и добавляют новые учетные записи в репозиторий организации, если обладают достаточными привилегиями.
Специалисты GitHub сообщают, что уже сбросили пароли пострадавших пользователей и уведомили их о случившемся. Созданные злоумышленниками учетные записи были удалены из корпоративных репозиториев.
 
Сверху