Cyberprzestępcy po raz kolejny obrali na cel programistów korzystających z GitHub. Tym razem wykorzystali szeroko zakrojoną kampanię phishingową, której celem było niemal 12 000 repozytoriów. Atak polegał na publikowaniu fałszywych zgłoszeń „Security Alert” w projektach użytkowników, informujących ich o rzekomej nietypowej aktywności na koncie. W rzeczywistości był to podstęp, który miał nakłonić ofiary do autoryzowania złośliwej aplikacji OAuth, dającej cyberprzestępcom pełną kontrolę nad kontem.
Mechanizm ataku
Wiadomości phishingowe publikowane jako problemy w repozytoriach GitHub ostrzegały użytkowników, że ich konto zostało zalogowane z nieznanej lokalizacji – Reykjaviku w Islandii. Wszystkie komunikaty zawierały ten sam adres IP, co miało dodać im autentyczności i wywołać u ofiar poczucie pilnej potrzeby podjęcia działań. Jako rozwiązanie sugerowano natychmiastową zmianę hasła, przegląd aktywnych sesji oraz włączenie uwierzytelniania dwuskładnikowego. Jednak odnośniki prowadziły nie do oficjalnych ustawień zabezpieczeń GitHub, lecz do strony autoryzacji aplikacji OAuth o nazwie „gitsecurityapp”. To właśnie ona była głównym narzędziem przestępców – wymagała szerokiego zakresu uprawnień, które pozwalały hakerom na pełną kontrolę nad kontem i kodem użytkownika.
Pełny dostęp dla cyberprzestępców
Jeśli użytkownik zatwierdził autoryzację aplikacji, generowany był token dostępu, który następnie trafiał do cyberprzestępców poprzez stronę hostowaną na platformie onrender.com. Przyznane aplikacji uprawnienia obejmowały możliwość odczytu i zapisu do profilu użytkownika, pełen dostęp do repozytoriów (zarówno publicznych, jak i prywatnych), możliwość usuwania projektów, zarządzanie przepływami pracy w GitHub Actions, a nawet dostęp do prywatnych dyskusji w organizacjach. W efekcie hakerzy mogli nie tylko wykraść kod źródłowy, ale także ingerować w działanie aplikacji i procesów CI/CD.
Skala ataku
Pierwsze ślady kampanii phishingowej pojawiły się wcześnie rano, a liczba dotkniętych repozytoriów dynamicznie rosła. Według analiz, cyberprzestępcy działali w czasie rzeczywistym, dostosowując liczbę i treść zgłoszeń w zależności od reakcji administratorów GitHub. Nie jest wykluczone, że platforma zaczęła podejmować działania w celu ograniczenia ataku, co mogło wpłynąć na jego dynamikę.
Jak się chronić?
Osoby, które mogły paść ofiarą tego oszustwa, powinny niezwłocznie podjąć odpowiednie kroki w celu zabezpieczenia swoich kont. Przede wszystkim należy natychmiast wycofać dostęp udzielony złośliwej aplikacji OAuth. W tym celu użytkownicy powinni przejść do ustawień GitHub, otworzyć sekcję „Aplikacje” i cofnąć autoryzację dla wszystkich podejrzanych narzędzi. W szczególności należy szukać aplikacji o nazwie „gitsecurityapp” lub innych, które nie były wcześniej autoryzowane. Dodatkowo warto przejrzeć historię działań na koncie, w tym ostatnio utworzone prywatne gisty oraz wszelkie zmiany w przepływach pracy GitHub Actions. W przypadku jakichkolwiek niepokojących aktywności, użytkownicy powinni natychmiast zmienić swoje poświadczenia i odnowić tokeny autoryzacyjne.
