GitHub, 16 Eylül’de başlayan ve kullanıcılarını CircleCI sürekli entegrasyon ve dağıtım platformunu taklit eden e-postalarla hedefleyen devam eden bir kimlik avı kampanyası hakkında uyarıda bulunuyor.
Sahte mesajlar, alıcılara kullanıcı koşullarının ve gizlilik politikasının değiştiğini ve değişiklikleri kabul etmek ve hizmetleri kullanmaya devam etmek için GitHub hesaplarında oturum açmaları gerektiğini bildirir.
Tehdit aktörlerinin amacı, GitHub hesap kimlik bilgilerini ve iki faktörlü kimlik doğrulama (2FA) kodlarını ters proxy’ler aracılığıyla ileterek çalmaktır.
Çok faktörlü kimlik doğrulama (MFA) için donanım güvenlik anahtarlarıyla korunan hesaplar bu saldırıya açık değildir.
GitHub Çarşamba günü bir danışma belgesinde “GitHub’ın kendisi etkilenmezken, kampanya birçok mağdur kuruluşu etkiledi” dedi.
CircleCI ayrıca, kötü niyetli kampanyanın farkındalığını artırmak için forumlarında bir bildirim yayınladı ve platformun, hizmet koşullarındaki değişiklikleri görüntülemek için kullanıcılardan asla kimlik bilgilerini girmelerini istemeyeceğini açıkladı.
“CircleCI’den gelen herhangi bir e-posta, yalnızca Circleci.com’a veya alt etki alanlarına bağlantılar içermelidir”, altını çiziyor. CircleCI’dan bildirim.
Sizin veya ekibinizden birinin bu e-postadaki bir bağlantıyı yanlışlıkla tıklamış olabileceğini düşünüyorsanız, lütfen hem GitHub hem de CircleCI için kimlik bilgilerinizi hemen döndürün ve herhangi bir yetkisiz etkinlik için sistemlerinizi denetleyin.
Kimlik avı mesajlarını dağıtan kimlik avı alanları, resmi CircleCI (circleci.com) için olanları taklit etmeye çalışır. Şimdiye kadar, aşağıdakiler doğrulandı:
- daire-ci[.]com
- e-postalar-circleci[.]com
- daire-cl[.]com
- email-circleci[.]com
Geçerli hesap kimlik bilgilerini aldıktan sonra, tehdit aktörleri kişisel erişim belirteçleri (PAT’ler) oluşturur, OAuth uygulamalarını yetkilendirir ve bazen bir parola sıfırlandıktan sonra bile kalıcı olması için hesaba SSH anahtarları ekler.
GitHub raporları uzlaşmadan hemen sonra özel depolardan içerik hırsızlığı görmek. Tehdit aktörleri, izlemeyi daha zor hale getirmek için VPN veya proxy hizmetleri kullanır.
Güvenliği ihlal edilmiş hesabın kuruluş yönetimi izinleri varsa, bilgisayar korsanları yeni kullanıcı hesapları oluşturur ve kalıcılığı korumak için bunları kuruluşa ekler.
GitHub, dolandırıcılık belirtilerinin tespit edilebileceği hesapları askıya aldı. Platform, olayla ilgili kişiselleştirilmiş bildirimleri görecek, etkilenen kullanıcılar için şifreleri sıfırladı.
GitHub’dan bir bildirim almadıysanız ancak kimlik avı kampanyasının kurbanı olabileceğinizi düşünmek için geçerli nedenleriniz varsa, öneri, hesap şifrenizi ve 2FA kurtarma kodlarınızı sıfırlamanız, PAT’lerinizi gözden geçirmeniz ve mümkünse kullanmaya başlamanızdır. bir donanım MFA anahtarı.
GitHub ayrıca listeler bu güvenlik kontrolleri gizli bilgisayar korsanlarının hesaplarını tehlikeye atmadığından emin olmak için tüm kullanıcıların düzenli olarak çalışması gerekir.