استهدفت حملة تصيد واسعة النطاق ما يقرب من 12000 مستودع جيثب مع مزيف “Security Alert” القضايا ، خداع المطورين في التصريح بتطبيق OAuth ضار يمنح المهاجمين السيطرة الكاملة على حساباتهم ورمزهم.
“Security Alert: Unusual Access Attempt We have detected a login attempt on your GitHub account that appears to be from a new location or device,” يقرأ قضية الخداع جيثب.
تحتوي جميع مشكلات التصيد الجيثروب على نفس النص ، وتحذر المستخدمين من أن نشاطهم غير المعتاد على حسابهم من Reykjavik ، أيسلندا ، وعنوان IP 53.253.117.8.
المصدر: BleepingComputer
رصد باحث الأمن السيبراني LUC4M أولاً تنبيه الأمن المزيف ، والذي حذر مستخدمي GitHub من أن حسابهم قد تم اختراقه وأنه يجب عليهم تحديث كلمة المرور الخاصة بهم ، ومراجعة وإدارة الجلسات النشطة ، وتمكين المصادقة ثنائية العوامل من تأمين حساباتهم.
ومع ذلك ، فإن جميع روابط هذه الإجراءات الموصى بها تؤدي إلى صفحة ترخيص github لـ a “gitsecurityapp” تطبيق OAuth الذي يطلب الكثير من الأذونات المحفوفة بالمخاطر (“https://docs.github.com/en/apps/oauth-apps/building-oauth-apps/scopes-for-oauth-apps” الهدف=”_blank” rel=”nofollow noopener”> النطاقات) وسيسمح للمهاجم وصول كامل إلى حساب المستخدم ومستودعات.
المصدر: BleepingComputer
فيما يلي الأذونات المطلوبة والوصول الذي يوفرونه أدناه:
- repo: يمنح الوصول الكامل إلى المستودعات العامة والخاصة
- مستخدم: القدرة على القراءة والكتابة إلى ملف تعريف المستخدم
- اقرأ: org: قراءة عضوية المنظمة ، ومشاريع المنظمة ، وعضوية الفريق
- اقرأ: مناقشةو اكتب: مناقشة: اقرأ واكتب الوصول إلى المناقشات
- جوهر: الوصول إلى github gists
- delete_repo:إذن لحذف المستودعات
- سير العمل ، سير العمل ، الكتابة: سير العمل ، قراءة: سير العمل ، التحديث: سير العمل: السيطرة على سير العمل الإجراءات github
إذا قام مستخدم GitHub بتسجيل الدخول ويصرح بتطبيق OAUTH الضار ، فسيتم إنشاء رمز الوصول وإرساله إلى عنوان رد الاتصال بالتطبيق ، والذي تم استضافته في هذه الحملة في هذه الحملة على onrender.com (عرض).
المصدر: BleepingComputer
بدأت حملة التصيد هذا الصباح في الساعة 6:52 صباحًا بتوقيت شرق الولايات المتحدة وهي مستمرة ، حيث تم استهداف ما يقرب من 12000 مستودع في الهجوم. ومع ذلك ، يتقلب الرقم ، مما يشير إلى أن جيثب من المحتمل أن يستجيب للهجوم.
المصدر: BleepingComputer
إذا تأثرت بهجوم التصيد هذا وقدمت عن طريق الخطأ ترخيص تطبيق OAUTH الضار ، فيجب عليك إلغاء وصوله على الفور عن طريق الانتقال إلى إعدادات GitHub ثم التطبيقات.
من شاشة التطبيقات ، قم بإلغاء الوصول إلى أي تطبيقات github أو تطبيقات OAUTH غير مألوفة أو مشبوهة. في هذه الحملة ، يجب أن تبحث عن تطبيقات تسمى بشكل مشابه لـ “GitsecurityApp”.
يجب عليك بعد ذلك البحث عن إجراءات github جديدة أو غير متوقعة (مهام سير العمل) وما إذا كان قد تم إنشاء GISTs الخاصة.
أخيرًا ، قم بتدوير بيانات الاعتماد الخاصة بك وموسيقى الرموز.
اتصل BleepingComputer بالجيثب حول حملة التصيد وسيقوم بإجراء هذه القصة عندما نحصل على رد.