Atacantes estão direcionando seus esforços contra repositórios no GitHub, apagando seus conteúdos e solicitando que as vítimas entrem em contato via Telegram para mais informações.
Esses ataques são parte do que parece ser uma campanha contínua, identificada pela primeira vez na quarta-feira por Germán Fernández, um pesquisador de segurança na empresa chilena de cibersegurança CronUp.
O ator de ameaça por trás dessa campanha, que utiliza o pseudônimo Gitloker no Telegram e se apresenta como um analista de incidentes cibernéticos, provavelmente está comprometendo contas de GitHub das vítimas usando credenciais roubadas.
Subsequentemente, eles afirmam roubar os dados das vítimas, criando um backup que poderia ajudar a restaurar os dados deletados.
Eles então renomeiam o repositório e adicionam um único arquivo README.me, instruindo as vítimas a entrar em contato via Telegram.
"Espero que esta mensagem lhe encontre bem. Este é um aviso urgente para informar que seus dados foram comprometidos, e nós asseguramos um backup", dizem as notas de resgate.
Após ataques anteriores contra usuários do GitHub, a companhia aconselhou os usuários a mudarem suas senhas para proteger suas contas contra acessos não autorizados.
Isso deve proteger contra ações maliciosas como adicionar novas SSH keys, autorizar novos aplicativos ou modificar membros da equipe.
Para evitar que atacantes comprometam sua conta GitHub e detectar atividade suspeita, você também deve:
-Habilitar autenticação em dois fatores;
-Adicionar uma passkey para login seguro e sem senha;
-Revisar e revogar acessos não autorizados a SSH keys, deploy keys e integrações autorizadas;
-Verificar todos os endereços de e-mail associados à sua conta;
-Revisar logs de segurança da conta para rastrear mudanças no repositório;
-Gerenciar webhooks nos seus repositórios;
-Verificar e revogar quaisquer novas deploy keys;
-Revisar regularmente commits recentes e colaboradores para cada repositório.
Esta não é a primeira vez que contas GitHub são comprometidas para roubar dados de repositórios privados dos usuários.
Por volta de março de 2020, hackers também comprometeram a conta da Microsoft, a companhia mãe da plataforma de desenvolvimento desde junho de 2018, roubando mais de 500GB em arquivos dos repositórios privados da Redmond.
Enquanto os arquivos roubados continham principalmente exemplos de código, projetos de teste e outros itens genéricos (nada significativo para a Microsoft se preocupar), especialistas em segurança estavam preocupados que chaves de API privadas ou senhas poderiam também ter sido expostas acidentalmente na violação.
Um ator de ameaça agora notório conhecido como ShinyHunters também confirmou a natureza inconsequente dos dados roubados ao vazá-los em um fórum de hackers gratuitamente, após inicialmente planejar vender os arquivos roubados para o melhor lance.
Em setembro de 2020, o GitHub alertou sobre uma campanha de phishing visando usuários para comprometer suas contas.
A campanha utilizava e-mails promovendo notificações falsas do CircleCI para roubar suas credenciais do GitHub e códigos de autenticação em dois fatores (2FA) ao redirecioná-los por meio de proxies reversos.
O GitHub disse que os atacantes quase imediatamente começaram a exfiltrar dados dos repositórios privados das vítimas após o comprometimento, adicionando novas contas de usuário às organizações para manter a persistência caso fossem usadas permissões de gerenciamento.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...