هجمات Gitloker الجديدة تقضي على مستودعات GitHub في مخطط ابتزاز

يستهدف المهاجمون مستودعات GitHub، ويمسحون محتوياتها، ويطلبون من الضحايا التواصل مع Telegram للحصول على مزيد من المعلومات.

هذه الهجمات هي جزء مما يبدو وكأنه حملة مستمرة رصدت لأول مرة يوم الأربعاء بقلم جيرمان فرنانديز، الباحث الأمني ​​في شركة الأمن السيبراني التشيلية CronUp.

ممثل التهديد الذي يقف وراء هذه الحملة – من لديه جيتلوكر التعامل مع Telegram والتظاهر بأنه محلل للحوادث السيبرانية – من المحتمل أن يؤدي إلى تعريض حسابات GitHub للأهداف باستخدام بيانات الاعتماد المسروقة.

وبعد ذلك، يزعمون أنهم يسرقون بيانات الضحايا، ويقومون بإنشاء نسخة احتياطية يمكن أن تساعد في استعادة البيانات المحذوفة. ثم يقومون بعد ذلك بإعادة تسمية المستودع وإضافة ملف README.me واحد، وتوجيه الضحايا للتواصل عبر Telegram.

“آمل أن تجدك هذه الرسالة بصحة جيدة. هذا إشعار عاجل لإبلاغك بأن بياناتك قد تم اختراقها، وأننا قمنا بتأمين نسخة احتياطية،” تلاحظ الفدية يقرأ.

عندما اتصلت BleepingComputer بـGitHub في وقت سابق اليوم للحصول على مزيد من التفاصيل بشأن حملة الابتزاز على Gitloker، لم يكن المتحدث الرسمي متاحًا على الفور للتعليق.

بعد الهجمات السابقة ضد مستخدمي GitHub، قامت الشركة ينصح المستخدمين لتغيير كلمات المرور الخاصة بهم لتأمين حساباتهم ضد الوصول غير المصرح به. من المفترض أن يحمي هذا من الإجراءات الضارة مثل إضافة مفاتيح SSH جديدة أو ترخيص تطبيقات جديدة أو تعديل أعضاء الفريق.

لمنع المهاجمين من اختراق حسابك على GitHub واكتشاف الأنشطة المشبوهة، يجب عليك أيضًا:

• تمكين المصادقة الثنائية.
• أضف مفتاح مرور لتسجيل الدخول الآمن بدون كلمة مرور.
• قم بمراجعة وإلغاء الوصول غير المصرح به إلى مفاتيح SSH ونشر المفاتيح وعمليات التكامل المعتمدة.
• تحقق من جميع عناوين البريد الإلكتروني المرتبطة بحسابك.
• قم بمراجعة سجلات أمان الحساب لتتبع تغييرات المستودع.
• إدارة خطافات الويب في مستودعاتك.
• التحقق من وجود أي مفاتيح نشر جديدة وإبطالها.
• قم بمراجعة الالتزامات والمتعاونين الأخيرين لكل مستودع بانتظام.

يتم استهدافها بشكل شائع في هجمات سرقة البيانات

هذه ليست المرة الأولى التي يتم فيها اختراق حسابات GitHub لسرقة البيانات من المستودعات الخاصة للمستخدمين.

في حوالي مارس 2020، قام المتسللون أيضًا باختراق حساب Microsoft، الشركة الأم لمنصة المطورين منذ يونيو 2018، سرقة أكثر من 500 جيجابايت من الملفات من مستودعات ريدموند الخاصة.

في حين أن الملفات المسروقة تحتوي في الغالب على نماذج تعليمات برمجية ومشاريع اختبار وعناصر عامة أخرى (لا يوجد شيء مهم بالنسبة لشركة Microsoft للقلق بشأنه)، كان خبراء الأمن قلقين من احتمال تعرض مفاتيح واجهة برمجة التطبيقات الخاصة أو كلمات المرور الخاصة أيضًا للانكشاف عن طريق الخطأ أثناء الاختراق.

كما أكد ممثل التهديد سيئ السمعة المعروف باسم ShinyHunters أيضًا الطبيعة غير المهمة للبيانات المسروقة من خلال تسريبها إلى منتدى القراصنة مجانًا بعد التخطيط أولاً لبيع الملفات المسروقة لمن يدفع أعلى سعر.

في سبتمبر 2020، حذر GitHub من حملة تصيد احتيالي تستهدف المستخدمين لاختراق حساباتهم. استخدمت الحملة رسائل البريد الإلكتروني التي تدفع إشعارات CircleCI المزيفة لسرقة بيانات اعتماد GitHub ورموز المصادقة الثنائية (2FA). عن طريق ترحيلهم من خلال وكلاء عكسيين.

قال GitHub إن المهاجمين بدأوا على الفور تقريبًا في سحب البيانات من المستودعات الخاصة للضحايا بعد الاختراق، وإضافة حسابات مستخدمين جديدة إلى المؤسسات للحفاظ على الاستمرارية إذا استخدمت أذونات الإدارة.