Uma extensa campanha de phishing mirou quase 12.000 repositórios do GitHub com falsas notificações de "Alerta de Segurança", enganando desenvolvedores a autorizarem uma aplicação OAuth maliciosa que concede aos atacantes controle total sobre suas contas e código.
"Alerta de Segurança: Tentativa de Acesso Incomum Detectamos uma tentativa de login na sua conta do GitHub que parece ser de uma nova localização ou dispositivo,” diz a questão de phishing no GitHub.
Todas as questões de phishing no GitHub contêm o mesmo texto, alertando usuários de que houve atividade incomum em suas contas de Reykjavik, Islândia, e do endereço IP 53.253.117.8.
O pesquisador de cibersegurança Luc4m foi o primeiro a identificar o falso alerta de segurança, que advertia os usuários do GitHub que suas contas haviam sido comprometidas e que eles deveriam atualizar suas senhas, revisar e gerenciar sessões ativas, e habilitar a autenticação de dois fatores para proteger suas contas.
No entanto, todos os links para essas ações recomendadas direcionam para uma página de autorização do GitHub para um app OAuth “gitsecurityapp” que solicita um grande número de permissões (scopes) muito arriscadas e permitiria ao atacante acesso total à conta e repositórios do usuário.
As permissões solicitadas e o acesso que elas concedem estão listados abaixo:
- `repo`: Concede acesso total a repositórios públicos e privados.
- `user`: Capacidade de ler e escrever no perfil do usuário.
- `read:org`: Ler membros de organização, projetos da organização e membros da equipe.
- `read:discussion, write:discussion`: Acesso de leitura e escrita a discussões.
- `gist`: Acesso aos gists do GitHub.
- `delete_repo`: Permissão para deletar repositórios.
- `workflows, workflow, write:workflow, read:workflow, update:workflow`: Controle sobre workflows do GitHub Actions.
Se um usuário do GitHub fizer login e autorizar o app OAuth malicioso, um token de acesso será gerado e enviado de volta para o endereço de callback do app, que nesta campanha tem sido várias páginas hospedadas em onrender.com (Render).
A campanha de phishing começou hoje às 6:52 AM ET e está em andamento, com quase 12.000 repositórios sendo alvo do ataque.
No entanto, o número flutua, indicando que o GitHub provavelmente está respondendo ao ataque.
Se você foi impactado por este ataque de phishing e por engano deu autorização ao app OAuth malicioso, você deve imediatamente revogar seu acesso indo até as Configurações do GitHub e depois em Aplicações.
Na tela de Aplicações, revogue o acesso a qualquer GitHub Apps ou apps OAuth que sejam desconhecidos ou suspeitos.
Nesta campanha, você deve procurar por apps com nomes similares a 'gitsecurityapp.'
Você deve então verificar por novas ou inesperadas GitHub Actions (Workflows) e se gists privados foram criados.
Finalmente, troque suas credenciais e tokens de autorização.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...