ينتحل ممثلو التهديد شخصية فرق الأمن والتوظيف في GitHub في هجمات التصيد الاحتيالي لاختطاف المستودعات باستخدام تطبيقات OAuth الضارة في حملة ابتزاز مستمرة لمسح عمليات إعادة الشراء المخترقة.
منذ فبراير/شباط على الأقل، العشرات من المطورين المستهدفة في هذه الحملة تلقت وهمية مماثلة عروض العمل أو انذار امني رسائل البريد الإلكتروني من “notifications@github.com” بعد أن تم وضع علامة عليها في تعليقات البريد العشوائي المضافة إلى مشكلات الريبو العشوائية أو سحب الطلبات باستخدام حسابات GitHub المخترقة.
تقوم رسائل البريد الإلكتروني التصيدية بإعادة توجيه الضحايا المحتملين إلى وظائف github[.]عبر الإنترنت أو مجتمع githubtalent[.]على الانترنت، كما رصدت لأول مرة بقلم الباحث الأمني في CronUp، جيرمان فرنانديز.
في الصفحات المقصودة، يُطلب من المستخدمين تسجيل الدخول إلى حساباتهم على GitHub لتخويل تطبيق OAuth جديد يطلب الوصول إلى المستودعات الخاصة، وبيانات المستخدم الشخصية، والقدرة على حذف أي مستودع قابل للإدارة، من بين أشياء أخرى.
أبلغ العديد من مستخدمي GitHub الذين وقعوا ضحية لهذه الهجمات أيضًا عن تعطيل حساباتهم وفقدان الوصول إلى جميع عمليات إعادة الشراء – على الأرجح بعد أن أبلغ ضحايا آخرون عن تعرضهم للإيذاء لدفع التعليقات غير المرغوب فيها.
كما BleepingComputer ذكرت يوم الخميسوبعد الوصول إلى مستودعات الضحايا، يقوم المهاجمون بمسح المحتويات وإعادة تسمية المستودع وإضافة ملف README.me لإرشاد الضحايا للتواصل مع Telegram لاستعادة البيانات.
يزعمون أيضًا أنهم سرقوا بيانات الضحايا قبل تدميرها وقاموا بإنشاء نسخة احتياطية يمكن أن تساعد في استعادة المستودعات المحذوفة.
لم يتلق BleepingComputer بعد ردًا من المتحدث باسم GitHub بعد التواصل معه الأسبوع الماضي للحصول على مزيد من التفاصيل بشأن حملة الابتزاز على Gitloker.
ومع ذلك، موظفي جيثب كان الرد إلى مناقشات المجتمع حول هذه الهجمات منذ فبراير، قائلًا إن الحملة تستهدف وظيفة الإشارة والإخطار في GitHub وتطلب من المستهدفين الإبلاغ عن هذا النشاط الضار باستخدام منصة البرمجة أدوات الإبلاغ عن إساءة الاستخدام.
“نحن نتفهم الإزعاج الذي تسببه هذه الإشعارات. تعمل فرقنا حاليًا على معالجة إشعارات التصيد غير المرغوب فيها،” أحد مديري مجتمع GitHub قال.
“نريد أن نذكر مستخدمينا بمواصلة استخدام أدوات الإبلاغ عن إساءة الاستخدام الخاصة بنا لإثارة أي نشاط مسيء أو مشبوه. هذه حملة تصيد وليست نتيجة اختراق GitHub أو أنظمته.”
كما نصح موظفو GitHub المستخدمين باتخاذ الإجراءات التالية لضمان عدم اختراق حساباتهم في هذه الهجمات:
- لا تنقر على أي روابط أو ترد على هذه الإشعارات. لو سمحت بلغ عنهم.
- أبداًالسماح لتطبيقات OAuth غير المعروفة، يمكنهم كشف حسابك وبياناتك على GitHub لطرف ثالث.
- دوريا قم بمراجعة تطبيقات OAuth المعتمدة.
في سبتمبر 2020، حذر GitHub من حملة تصيد احتيالي أخرى باستخدام رسائل البريد الإلكتروني التي تدفع إشعارات CircleCI المزيفة لسرقة بيانات اعتماد GitHub ورموز المصادقة الثنائية (2FA). عن طريق ترحيلهم من خلال الوكلاء العكسيين.