GitHub用户正成为网络钓鱼和勒索活动的目标,该活动利用网站的通知系统和恶意 OAuth 应用程序诈骗受害者,勒索金额从1000美元到25万美元不等。而根据GitHub 社区在今年二月发起的讨论显示,该活动已持续了近四个月。
GitHub网络钓鱼活动勒索受害者,勒索金额高达25万美元
“威胁行为者欺骗合法公司以获取内容访问权已经不是什么新鲜事了,但是威胁行为者为了获取访问权而不择手段的做法并不常见。”Cofense 网络情报团队经理 Max Gannon 在给 SC Media 的一封电子邮件中说:"更不寻常的是,威胁行为者在获得访问权限后,似乎只是利用这些账户进行勒索,而不是执行更高级的操作,如将恶意软件上传到 repos 以感染更多的人。”
Fernández在帖子中提供了更多与Gitloker电报有关的其他勒索骗局的证据,其中包括4月份的一份电报,威胁称如果不支付25万美元,就会泄露据称在某组织的GitHub repos中发现的机密信息;2月初的另一份电报则要求在24小时内支付1000美元,以防止来自未指定泄露源的数据曝光。
GitHub网络钓鱼活动利用评论发送电子邮件从而获取访问权
CronUp 安全研究员赫尔曼-费尔南德斯(Germán Fernández)上周在社交媒体上发表的一篇文章揭示了这一骗局的新伎俩。
当目标用户的用户名在评论中被提及(即被标记)时,他们就会被卷入骗局,从而触发从 notifications@github.com(一个合法的 GitHub 电子邮件地址)向他们发送电子邮件。
攻击者留下的评论被设计成看起来像来自 GitHub 工作人员的电子邮件,收到通知邮件的不知情用户可能不会意识到他们正在阅读的是他们提到的评论内容,而不是直接从 GitHub 发送的电子邮件。
来自 GitHub 社区讨论的截图显示,邮件来源于他们被标记的评论的唯一迹象是以 "Re: "开头的主题行,以及邮件底部的一行字:"您收到此邮件是因为您被提及"。
这些钓鱼评论声称来自 GitHub 工作人员,向用户提供一份工作或提醒用户注意所谓的安全漏洞。这些评论包括一个类似 GitHub 域名的网站链接,其中包括 githubcareers[.]online 和 githubtalentcommunity[.]online,该链接会提示目标通过 OAuth 向外部应用程序提供对其帐户和存储库的某些访问和控制。
如果该请求被批准,攻击者就会清除用户 repos 中的内容,代之以一个 README 文件,指示用户联系 Telegram 上一个名为 "gitloker "的用户以恢复数据。Gitloker 威胁行为者还会利用受损账户发布更多评论,从而触发更多钓鱼邮件,使受害者的账户面临因其他用户报告该骗局而被删除的危险。
保护GitHub 账户免受Gitloker 和类似诈骗的侵害
GitHub 至少从二月份开始就意识到了 Gitloker 的网络钓鱼和勒索活动,一名工作人员在社区讨论中表示:"我们的团队目前正在努力解决这些主动发送的网络钓鱼通知。”并提出了以下建议:
· 建议用户利用GitHub 的滥用报告工具来通知他们垃圾邮件;
· 建议用户不点击可疑邮件中的链接或回复可疑邮件,警惕授权 OAuth 应用程序,因为这些应用程序会将用户的 GitHub 数据暴露给第三方;
· 定期检查与用户账户绑定的授权 OAuth 应用程序;
· 建议用户应取消对任何未使用或可疑 OAuth 应用程序的访问权限;
· 建议GitHub用户验证连接到repo的应用程序的合法性,谨防网络钓鱼;
· 制定GitHub的备份策略,如果遇到服务器崩溃,也能够快速恢复,避免对业务正常运转造成影响。
此外,该工作人员还指出,GitHub 不会通过任何形式的公开通知来招聘人才,此次网络钓鱼活动也不是 GitHub 自身受到攻击的结果。
GitHub 发言人还告诉SC Media,如果用户认为自己的账户可能已被泄露,应查看自己的 GitHub 活动会话和个人访问令牌,更改 GitHub 密码并重置双因素恢复代码。
GitHub 发言人在一封电子邮件中表示:“GitHub 会调查平台上所有滥用或可疑活动的报告,并在内容或活动违反我们的可接受使用政策时采取行动。”
不过,GitHub 没有回答有关是否针对该活动对其通知系统进行了任何修改,以及截至 6 月份该活动在整个网站的普及程度如何的问题。