GitHub предупреждает, что 16 сентября началась масштабная фишинговая кампания, нацеленная на пользователей. Мошенники рассылают письма с фальшивыми уведомлениями от лица сервиса Circle CI, который используется для непрерывной разработки и деплоя.

Такие поддельные сообщения информируют получателей об изменениях в политике конфиденциальности и условиях использования, из-за чего людям якобы необходимо войти в свою учетную запись на GitHub и принять изменения.

Как нетрудно догадаться, цель злоумышленников — хищение учетных данных от GitHub и кодов двухфакторной аутентификации, которые передаются атакующим через обратные прокси. Известно, что после получения учетных данных злоумышленники создают токены личного доступа (personal access token, PAT), авторизуют приложения OAuth и иногда добавляют ключи SSH, чтобы сохранить доступ к учетным записям даже после сброса пароля.

«Хотя сам GitHub не пострадал, эта кампания затронула многие организации», — сообщают представители GitHub.

Представители CircleCI тоже предупредили пользователей о фейках и постарались привлечь внимание к этой вредоносной кампании. В CircleCI подчеркивают, что сервис никогда не стал бы просить пользователей ввести учетные данные для просмотра изменений в политике конфиденциальности и условиях использования.

«Любые электронные письма от CircleCI должны содержать только ссылки на circleci.com или его поддомены», — говорят в компании.

Фишинговые домены, которые используют злоумышленники, пытаются имитировать настоящий домен CircleCI (circleci.com). На данный момент подтверждено использование следующих фальшивок:

  • circle-ci[.]com
  • emails-circleci[.]com
  • circle-cl[.]com
  • email-circleci[.]com

GitHub сообщает, что сразу после взломов из приватных репозиториев наблюдаются утечки данных, причем злоумышленники используют VPN и прокси, чтобы затруднить отслеживание. Если же скомпрометированная учетная запись имеет высокие привилегии, хакеры создают новые учетные записи, чтобы в будущем сохранить доступ к цели.

Сообщается, что в настоящее время специалисты GitHub заблокировали учетные записи, для которых была выявлена подозрительная активность. Пароли пострадавших пользователей сброшены, и они должны получить уведомления об инциденте.

Источник: xakep