GitHub: campagna Gitloker ruba dati tramite app oAuth dannose

Alcuni hacker si fingono il team di sicurezza e reclutamento di GitHub negli attacchi di phishing per dirottare i repository utilizzando app OAuth dannose. La campagna di estorsione di Gitloker è tutt’ora in corso e cancella i repository compromessi. Da febbraio, dozzine di sviluppatori presi di mira in questa campagna hanno ricevuto offerte di lavoro false o e-mail di avvisi di sicurezza da "notifications@github[.]com". Ciò dopo essere stati taggati in commenti spam aggiunti a problemi di repository casuali o richieste pull utilizzando account GitHub compromessi. Come notato per la prima volta dal ricercatore di sicurezza di CronUp, Germán Fernández, le e-mail di phishing reindirizzano le potenziali vittime a githubcareers[.]online o githubtalentcommunity[.]online.

Nelle pagine di destinazione, agli utenti viene chiesto di accedere ai propri account GitHub per autorizzare una nuova app OAuth che richiede l'accesso a repository privati, dati personali degli utenti e la possibilità di eliminare qualsiasi repository amministrabile. Molti utenti GitHub, vittime di questi attacchi, riferiscono anche che i propri account sono stati disabilitati e di aver perso l'accesso a tutti i repository. Come riportato la settimana scorsa dal sito BleepingComputer, dopo aver ottenuto l'accesso ai repository delle vittime, gli aggressori cancellano i contenuti, rinominano il repository e aggiungono un file README.me che ordina alle vittime di contattare Telegram per recuperare i dati. Gli hacker affermano inoltre di aver rubato i dati delle vittime prima di distruggerli. Inoltre, questi hanno creato un backup che potrebbe aiutare a ripristinare i repository cancellati.

GitHub: la piattaforma sta lavorando per risolvere il problema

Lo staff di GitHub ha affermato che la campagna Gitloker prende di mira la funzionalità di menzione e notifica di GitHub. Inoltre, ha chiesto agli utenti prese di mira di segnalare questa attività dannosa utilizzando gli strumenti di segnalazione degli abusi della piattaforma di codifica. Come affermato da un community manager di GitHub: "Comprendiamo l'inconveniente causato da queste notifiche. I nostri team stanno attualmente lavorando per affrontare queste notifiche di phishing non richieste. Vogliamo ricordare ai nostri utenti di continuare a utilizzare i nostri strumenti di segnalazione degli abusi per segnalare qualsiasi attività abusiva o sospetta. Questa è una campagna di phishing e non è il risultato di una compromissione di GitHub o dei suoi sistemi".

GitHub ha inoltre consigliato agli utenti di adottare alcune misure per garantire che i loro account non vengano compromessi da questi attacchi. In primis non cliccare su alcun link, né rispondere a queste notifiche, ma segnalarle subito. Inoltre, non autorizzare mai app OAuth sconosciute, poiché potrebbero esporre l’account e i dati GitHub a terzi. Infine, è necessario controllare periodicamente le app OAuth autorizzate. Nel settembre 2020, GitHub ha avvertito di un'altra campagna di phishing che utilizzava e-mail che spingevano false notifiche CircleCI. Ciò per rubare credenziali GitHub e codici di autenticazione a due fattori (2FA) inoltrandoli tramite proxy inversi.