內容
智利資安公司 CronUp 研究人員German Fernandez 發現駭客攻擊 Github 專案儲存庫,駭客疑似竊取使用者憑證進行攻擊活動,此次攻擊即是利用Telegram中的Gitloker 帳號,偽造為資安分析師進行釣魚行為。
German Fernandez 指出,今年從 2 月開始,一直有駭客透過竊取或刪除他人的Github 專案儲存庫來勒索受害者。
攻擊者竊取受害者的專案儲存庫之後,重新命名專案儲存庫,並添加一個檔案:README[.]me,告知受害者可透過 Telegram聯繫攻擊者,其勒索信內容為:「這是一個緊急通知,你的資料已經外洩,我們有幫你備份好資料並確保其安全」。
German Fernandez指出,攻擊者主要利用 GitHub 的評論和通知功能,並透過 notifications@github[.]com 發送釣魚郵件,在這次事件中,使用2個假冒的網域名稱:
Githubcareers[.]online
Githubcareers[.]online
在此次事件前,今年也有多起相關 Github 資安事件:
2 月 22 日 Github 使用者 CodeLife234 回報一個朋友的帳號遭駭的資安事件,該事件是由於受害者點擊一個來自釣魚郵件的連結,該郵件偽造為招聘 GitHub 開發人員職位
Github 使用者 Mindgames 也聲稱收到來自 Github 偽造為招聘 GitHub 開發人員的釣魚信,寄件者被偽造為 notification@github[.]com
另一位 Github 使用者回報稱收到一個偽造為 Github 通知系統發送的釣魚郵件,內容是告知受害者其帳號資料已經外洩,並提供連結以引導受害者至釣魚網站:https://githubcareer[.]online
Fernández 指出在 4 月 11 日的一個敲詐勒索的螢幕截圖,內容為 Gitloker 威脅一家 B2C 的公司,並聲稱已經竊取其資料,如不給 25 萬美金則會公開公司內部機密資料
而Github並不是第一次被針對作為攻擊的目標:
2020 年 3 月,發現駭客自 2018 年 6 月以來持續攻擊微軟的帳號,並從其員工 Redmond 的私人專案儲存庫獲取超過 500 GB 的檔案
2020 年 9 月,Github 警告存在針對使用者的釣魚攻擊,該次攻擊透過偽造 CircleCI 發送釣魚郵件給使用者,來竊取受害者的 Github 憑證
Github 建議受害的使用者採取以下措施:
更換密碼
檢查活動紀錄
檢查自己的訪問權杖(Access Token)
檢查授權的 OAuth 應用程式
不要點擊授權任何不明來源的 OAuth 應用程式授權請求
為了防止帳號被入侵,可參考下列建議:
啟用雙因子身分驗證
檢查過去授權的 ssh key
定期查看每個專案儲存庫最近的提交內容