Categorias
Malwares

Ataque de phishing no GitHub usa aplicativo OAuth para sequestrar contas

Uma campanha de phishing direcionou milhares de repositórios no GitHub com falsos alertas de segurança. O golpe induz desenvolvedores a autorizar um aplicativo OAuth malicioso, permitindo o acesso total às contas e repositórios.

Logotipo do GitHub em destaque, cercado por um fundo escuro com linhas coloridas em movimento, representando a inovação tecnológica e a dinâmica do desenvolvimento de software.

Uma recente campanha de phishing teve como alvo quase 12.000 repositórios no GitHub, enganando desenvolvedores com falsos alertas de segurança. O golpe leva as vítimas a autorizar um aplicativo OAuth malicioso que concede aos invasores acesso total às contas e seus repositórios.

Ataque de phishing no GitHub compromete repositórios com aplicativo OAuth malicioso

Vulnerabilidades da GitHub Action tj-actions/changed-files: o que saber
Vulnerabilidades da GitHub Action tj-actions/changed-files: o que saber

Os invasores criam um falso “Alerta de Segurança” nos repositórios do GitHub, informando os desenvolvedores sobre uma suposta tentativa de login suspeita. O aviso menciona um acesso a partir de Reykjavik, Islândia, associado ao endereço IP 53.253.117.8, alarmando os usuários.

O alerta sugere que os desenvolvedores atualizem suas senhas, revisem sessões ativas e ativem a autenticação em dois fatores (2FA). No entanto, todos os links fornecidos redirecionam para uma página de autorização do GitHub para um aplicativo OAuth chamado “gitsecurityapp”.

Permissões do aplicativo malicioso

Ao autorizar o aplicativo OAuth malicioso, o desenvolvedor concede permissão para:

  • Acessar e modificar repositórios (privados e públicos)
  • Gerenciar perfil do usuário
  • Ler informações da organização e projetos
  • Controlar discussões e fluxos de trabalho do GitHub Actions
  • Criar, editar e excluir gists
  • Remover repositórios

Essas permissões oferecem controle total sobre a conta, permitindo que os invasores manipulem projetos e roubem código-fonte.

Como se proteger

Se você autorizou o aplicativo OAuth malicioso, siga estas etapas para mitigar os danos:

  1. Revogue o acesso do aplicativo acessando Configurações > Aplicações no GitHub e removendo qualquer app suspeito, especialmente “gitsecurityapp”.
  2. Verifique suas credenciais para identificar e remover acessos inesperados.
  3. Analise repositórios e fluxos de trabalho para detectar alterações desconhecidas.
  4. Atualize suas senhas e tokens de acesso imediatamente.

Resposta do GitHub

A campanha de phishing foi detectada na manhã do dia 16 de março de 2025 e continua ativa, com flutuações no número de repositórios comprometidos, indicando que o GitHub está reagindo ao ataque.

A equipe do GitHub foi contatada sobre o incidente e mais informações serão divulgadas conforme a investigação avança.

Por Jardeson Márcio

Jardeson é Mestre em Tecnologia Agroalimentar e Licenciado em Ciências Agrária pela Universidade Federal da Paraíba. Entusiasta no mundo tecnológico, gosta de arquitetura e design gráfico. Economia, tecnologia e atualidade são focos de suas leituras diárias.
Acredita que seu dia pode ser salvo por um vídeo engraçado.

Sair da versão mobile