聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
GitHub 发布安全公告,详述了一起正在进行的钓鱼攻击活动正在通过假冒 CircleCI DevOps 平台攻击其用户,窃取用户凭据和双因素认证码。
GitHub 表示在2022年9月16日知道了这起攻击活动,并表示该攻击影响了“很多受害者组织机构”。该欺诈信息通知用户称他们的CircleCI 会话已过期,应当点击某链接使用GitHub 凭据登录。
另外一份虚假邮件提示用户,点击内嵌链接登录到GitHub 账户接受新的使用条款和隐私策略。用户如照做,则被重定向至看似像GitHub登录页面的页面,从而导致输入的凭据被盗取和提取,以及TOTP码实时发送给攻击者,从而导致双因素认证机制遭绕过。
GitHub指出,“受硬件安全密钥保护的账户不受供给影响。”
攻击者获得对用户账户的越权访问权限后可创建GitHub 个人访问令牌、授权OAuth应用程序或者增加SSH密钥,以便在密码更改后仍然可以维护访问权限。攻击者还会下载私有仓库内容,甚至创建并增加新的GitHub账户,前提是受陷账户拥有组织机构的管理权限。
GitHub指出已经采取措施,为受影响用户重置密码并删除恶意增加的凭据,同时通知受影响用户并暂停受攻击者控制的账户。不过GitHub 并未披露攻击的影响范围。
就在五个多月前,GitHub遭受高针对性攻击,导致由Heroku和Travis CI维护的第三方OAuth 用户令牌被滥用于下载私有仓库。
https://thehackernews.com/2022/09/hackers-using-fake-circleci.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):黑客利用虚假CircleCI 通知入侵GitHub 账号
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论