Злоумышленники крадут GitHub-аккаунты, подделывая уведомления от CircleCI

Совсем недавно GitHub выпустила предупреждение о фишинговой кампании, целью которой является кража учетных данных и кодов двухфакторной аутентификации (2FA) пользователей. О начале кампании стало известно 16 сентября 2022 года, когда пользователям начали приходить фейковые сообщения якобы от CircleCI.

Злоумышленники пытаются обмануть жертву двумя способами:

1. В сообщении говорится, что у пользователя истек срок сессии CircleCI, а чтобы ее продлить, необходимо войти в систему, используя учетные данные от своего GitHub-аккаунта, перейдя по прикрепленной к сообщению ссылке.

2. В сообщении жертве сообщается об изменениях в политике конфиденциальности и условиях использования, которые необходимо принять, перейдя по прикрепленной ссылке и войдя в GitHub-аккаунт.

Оба способа ведут на одну и ту же страницу, похожую на страницу входа в GitHub. Она используется злоумышленниками для кражи учетных данных и одноразовых паролей, сгенерированных по алгоритму TOTP (Time-based one-time Password), что позволяет обойти 2FA.

Получив доступ, злоумышленники следуют одному их двух сценариев:

1. Создают токены личного доступа (personal access token, PAT), авторизуют OAuth-приложения и добавляют SSH-ключи, чтобы иметь доступ к аккаунтам жертв даже после смены пароля;

2. Скачивают содержимое приватных репозиториев и добавляют новые учетные записи в репозиторий организации, если обладают достаточными привилегиями.

Специалисты GitHub сообщают, что уже сбросили пароли пострадавших пользователей и уведомили их о случившемся. Созданные злоумышленниками учетные записи были удалены из корпоративных репозиториев.