Cibercriminosos se fazem passar pelas equipes de segurança e recrutamento do GitHub em ataques de phishing para sequestrar repositórios usando aplicativos OAuth maliciosos. Esta é uma campanha contínua de extorsão, que limpa repositórios comprometidos.
Notificações do GitHub usadas para enviar aplicativos OAuth maliciosos
Desde pelo menos fevereiro, dezenas de desenvolvedores alvo desta campanha receberam ofertas de emprego falsas semelhantes ou e-mails de alerta de segurança de “notifications@github.com” após serem marcados em comentários de spam adicionados a problemas aleatórios de repositório ou solicitações pull usando contas GitHub comprometidas.
Os e-mails de phishing redirecionam vítimas em potencial para githubcareers[.]online ou githubtalentcommunity[.]online, conforme detectado pela primeira vez pelo pesquisador de segurança da CronUp, Germán Fernández. Nas páginas iniciais, os usuários são solicitados a fazer login em suas contas GitHub para autorizar um novo aplicativo OAuth que solicita acesso a repositórios privados, dados pessoais do usuário e a capacidade de excluir qualquer repositório administrável, entre outras coisas.
Muitos usuários do GitHub que foram vítimas desses ataques também relatam ter suas contas desativadas e perder acesso a todos os repositórios, provavelmente depois que outras vítimas os denunciaram por serem abusados para enviar spam de comentários.
Segundo o Bleeping Computer, após obter acesso aos repositórios das vítimas, os invasores apagam o conteúdo, renomeiam o repositório e adicionam um arquivo README.me instruindo as vítimas a entrar em contato com o Telegram para recuperar os dados. Eles também afirmam ter roubado os dados das vítimas antes de destruí-los e criado um backup que poderia ajudar a restaurar os repositórios apagados.
Notícias Relacionadas
O que diz o GitHub
A equipe do GitHub tem respondido às discussões da comunidade sobre esses ataques desde fevereiro, dizendo que a campanha tem como alvo a funcionalidade de menção e notificação do GitHub e pedindo aos alvos que relatem essa atividade maliciosa usando as ferramentas de relatório de abuso da plataforma de codificação.
Entendemos a inconveniência causada por essas notificações. Nossas equipes estão atualmente trabalhando para lidar com essas notificações de phishing não solicitadas.
Queremos lembrar aos nossos usuários que continuem a usar nossas ferramentas de denúncia de abuso para levantar qualquer atividade abusiva ou suspeita. Esta é uma campanha de phishing e não é o resultado de um comprometimento do GitHub ou de seus sistemas.
Gerente de comunidade do GitHub
A equipe do GitHub também aconselhou os usuários a tomarem as seguintes medidas para garantir que suas contas não sejam invadidas nesses ataques: não clique em nenhum link nem responda a essas notificações. Por favor, denuncie-os; nunca autorize aplicativos OAuth desconhecidos, eles podem expor sua conta e dados do GitHub a terceiros; revise periodicamente seus aplicativos OAuth autorizados.
