Ложные уведомления о безопасности на GitHub: как хакеры могут получить доступ к вашей учетной записи

Исследователи безопасности обнаружили новую кампанию по фишингу, направленную на пользователей GitHub.

Поддельная учетная запись «GitHub Notification» отправляла пользователям уведомления о подозрительных входах. Все ссылки в уведомлении вели к вредоносному приложению.

Киберпреступники подделывают уведомления о безопасности на GitHub, чтобы заставить доверчивых пользователей установить вредоносное программное обеспечение и потерять свою работу, предупреждают эксперты. Исследователь безопасности по прозвищу «LC4M» обнаружил кампанию и поделился подробным объяснением в коротком посте в X, отметив, что злоумышленники создали учетную запись GitHub под названием «GitHub Notification», а затем открыли вопрос в «известном репозитории безопасности», заявив «Безопасность: Попытка необычного доступа».

«Мы обнаружили попытку входа в вашу учетную запись GitHub, которая, по-видимому, исходит из нового местоположения или устройства», - гласит фальшивое уведомление. «Если вы узнаете эту активность, никаких дополнительных действий не требуется. Однако, если это не было вами, мы настоятельно рекомендуем немедленно защитить вашу учетную запись».

В уведомлении говорится, что попытка входа была предпринята из Рейкьявика, Исландия, и предоставляются ссылки, по которым пользователи могут обновить свой пароль, просмотреть и управлять активными сессиями и даже включить двухфакторную аутентификацию (2FA).

Однако все ссылки ведут на страницу авторизации GitHub для приложения OAuth под названием «gitsecurityapp». Это приложение запрашивает многочисленные разрешения, включая разрешения, которые предоставляют полный доступ к общедоступным и частным репозиториям, возможность чтения и записи в профиль пользователя, доступ к фрагментам кода GitHub (GitHub gists), разрешение на удаление репозиториев и многое другое.

Исследователь обновил свою ветку, чтобы сказать, что по крайней мере 8000 репозиториев GitHub были атакованы. Однако BleepingComputer сообщает, что количество целей составляет 12000.

Если вы стали жертвой этой кампании и предоставили разрешения, вам следует немедленно отозвать доступ, а после этого сменить учетные данные и токены аутентификации, чтобы быть в безопасности. LC4M не мог с уверенностью приписать кампанию какому-либо известному злоумышленнику, но у него есть подозрения: «Пахнет DPKR?», - сказал он, предположив, что это может быть работа государственных хакеров из Северной Кореи.