GitHub上的虚假安全警报问题利用OAuth应用劫持账户

一场广泛的网络钓鱼活动针对了近12,000个GitHub仓库，通过伪造的“安全警报”问题诱骗开发者授权一个恶意的OAuth应用，从而使攻击者能够完全控制他们的账户和代码。

“安全警报：异常访问尝试 我们检测到您的GitHub账户有一次登录尝试，似乎来自一个新的位置或设备，”GitHub上的钓鱼问题如此写道。

所有的GitHub钓鱼问题都包含相同的文本，警告用户他们的账户在冰岛雷克雅未克和IP地址53.253.117.8上出现了异常活动。

发布到 GitHub 存储库的虚假“安全警报”问题

网络安全研究员 Luc4m 首先发现了虚假的安全警报，该警报警告 GitHub 用户他们的帐户已泄露，他们应该更新密码、查看和管理活动会话，并启用双因素身份验证来保护他们的帐户。

但是，这些建议作的所有链接都指向 “gitsecurityapp” OAuth 应用程序的 GitHub 授权页面，该页面请求大量非常危险的权限（范围），并允许攻击者完全访问用户的帐户和存储库。

恶意 OAuth 应用

下面列出了请求的权限及其提供的访问权限：

• 回购：授予对公有和私有存储库的完全访问权限

• 用户：能够读取和写入用户配置文件

• 阅读：org：阅读组织成员资格、组织项目和团队成员资格

• read：讨论， write：discussion：对讨论的读取和写入访问权限

• 要点：访问 GitHub gist

• delete_repo： 删除仓库的权限

• workflows， workflow， write：workflow， read：workflow， update：workflow：控制 GitHub Actions 工作流程

如果 GitHub 用户登录并授权恶意 OAuth 应用程序，将生成访问令牌并将其发送回应用程序的回调地址，在该活动中，该地址是托管在 onrender.com （Render） 上的各种网页。

带有 onrender.com 页面回调的 OAuth 授权链接

网络钓鱼活动于美国东部时间16号早上 6：52 开始，并且正在进行中，近 12,000 个存储库成为攻击的目标。但是，该数字会波动，表明 GitHub 可能正在响应攻击。

在 GitHub 存储库中创建的虚假安全警报问题

如果您受到此网络钓鱼攻击的影响并错误地向恶意 OAuth 应用程序授予授权，则应立即进入 GitHub 设置，然后进入应用程序来撤销其访问权限。

在 Applications（应用程序）屏幕中，撤销对任何不熟悉或可疑的 GitHub Apps 或 OAuth 应用程序的访问权限。在此活动中，您应该寻找名称类似于“gitsecurityapp”的应用程序。

然后，您应该查找新的或意外的 GitHub Actions（工作流），以及是否创建了私有 gist。最后，轮换您的凭证和授权令牌。

原文来自: www.bleepingcomputer.com