GitHub 仓库遭勒索攻击

CronUp 公司的一名安全研究员在上周披露了这起攻击，该活动似乎至少从2024年2月起就已经持续。GitHub 社区论坛上的帖子表明，多名 GitHub 用户在过去几个月来就遇到这些问题，尽管真实数字尚不得知。

GitHub 并未立即就是否知晓该威胁或为 GitHub 用户提供何种建议做出回应。研究员指出，攻击者似乎正在利用 GitHub 的一个注释和通知特性。他提到，“他们设法通过合法的 ‘notifications@github[.]com’传播钓鱼邮件。另外，发送者的姓名可通过重命名攻击者的 GitHub 账户进行操纵。他发现攻击者使用了两个域名，githubcareers[.]online 和 githubtalentcommunity[.] online。”

多起事件

2月22日，GitHub 用户 CodeLife 234 报送了一个涉及朋友账户被黑之后被标记的问题。该攻陷显然是在受害者点击虚假的 GitHub 开发工作招聘链接后发生的。

受害者称攻击者创建并将两个仓库推送给受害者账户并留下敲诈信息。该信息提到，“紧急通知，您的数据已受陷，我们已加固备份安全。目前，我们需要象征性收取1000美元阻止您的文件遭暴露。所有人在接下来的24小时内立即采取措施至关重要，以防数据泄露发生。”受害者还称攻击者正在删除某些仓库并表示其账户和项目不再公开可见。

另外一名用户 “Mindgames” 跟帖称，收到了类似的 GitHub 开发岗位的邮件，发送自 notifications@github[.]com，邮件称该岗位工资为1.8万美元以及还包括多个很有吸引力的福利。它督促收件人点击嵌入式链接，填写申请流程中的其它所需信息。

另外还有一名GitHub 用户收到了一份虚假招聘邮件以及通过 GitHub 通知系统发送的虚假安全告警。截图表明该邮件由 “GitHub 安全团队” 签名，并通知收件人称他们的账户已遭攻陷。邮件提到，“我们的服务器遭越权访问，可能攻陷用户数据和平台的完整性。”该邮件要求收件人立即点击允许 GitHub 安全团队采取必要修复措施的链接，协助解决问题。这些与工作招聘和安全相关的邮件都将用户指向 https://githubcareer[.]online/。

该用户指出，“这些邮件提示用户在 GitHub 上认证，而且如在短时间内未采取任何措施，该页面会自动重定向到具有特定查询参数的 OAuth2 认证页面。”

盗取数据实施勒索

不过，并非所有的 GitHub 勒索事件都是类似的。

本周早些时候，Fernandez 贴出一张 Gitloker 在4月11日留下的勒索留言，受害者似乎与一家B2C公司的 GitHub 仓库存在关联。留言者声称为网络事件分析师，通知收件人称 Gitloker“团队”从该仓库中发现了机密信息，如被公开则可能对公司造成损害。

攻击者写到，“我们愿意阻止该信息遭公开披露，交换条件是25万美元的付款。”该留言向受害者保证称如收到款项则会保持数据的机密性。

GitHub 的一名发验证表示，调查了该平台上的所有滥用或可疑活动报告，并在必要时采取措施。该发言人指出，“我们鼓励客户和社区成员报告滥用和垃圾邮件。”GitHub 为那些认为自己的 GitHub 账户被攻陷的用户提供了多项措施，包括审计活跃的 GitHub 会话、审计个人访问令牌、更改 GitHub 密码并重置双因素恢复代码等。

GitHub 提到，“审计授权的 OAuth 应用，不要点击任何链接或答复要求授权 OAuth app的来源不明的信息。授权 OAuth app 可导致用户的 GitHub 账户和数据被暴露给第三方。”