聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该GitHub 钓鱼 issue 提到,“安全告警:异常访问尝试 我们在您的 GitHub 账号上检测到一次似乎来自新地点或设备的登录尝试。”所有的GitHub 钓鱼issue 都包含同样的文本,提醒用户称账号出现异常活动,来自冰岛雷克雅未克的IP地址53.253.11.8异常访问了账户。
网络安全研究员 Luc4m 率先发现了该虚假安全告警,它提醒 GitHub 用户称他们的账号被攻陷,应更新密码,查看和管理活跃会话并启用双因素验证机制以保护账号安全。
然而,这些操作建议指向了一款名为 “gitsecurityapp” 的 OAuth 应用的授权页面,要求获得很多风险很大的许可并允许攻击者完全访问用户账号和仓库。
这些要求的许可及其所提供的访问权限如下:
-
Repo:和公开和非公开仓库提供完全访问权限。
-
User:对用户资料的读写能力
-
read:org: 读取组织机构会员、组织机构项目和团队会员。
-
read: discussion, write:discussion:对讨论的读写权限。
-
gist:对Github 要点的访问权限。
-
delete_repo:删除仓库的许可。
-
workflows, workflow, write:workflow, read:workflow, update:workflow:对GitHub Actions 工作流的控制。
如果GitHub 用户登录并授权恶意 OAuth 应用,则会生成一个访问令牌并被发回给改应用的回调地址,而在本钓鱼活动中,该地址有很多网页托管在onrender.com上。该钓鱼活动在东部时间开始,近1.2万个仓库遭针对。不过该数字有所浮动,说明 GitHub 可能正在响应该攻击。
如用户受该钓鱼攻击影响且错误将授权授予该恶意 OAuth app,则应立即在GitHub 的“设置”和“应用”页面立即撤销其访问权限。在“应用”屏幕,撤销对任何不熟悉或可疑的 GitHub Apps 或 OAuth 应用的访问权限,在本案例中可查找类似于 “gitsecurityapp” 的应用。之后应查看新的或异常的 GitHub Actions (Workflows) 以及是否创建了非公开的 gist。最后,更换凭据和授权令牌。
GitHub 尚未就此置评。
原文始发于微信公众号(代码卫士):钓鱼攻击在GitHub发布虚假“安全告警”,使用OAuth 应用劫持账号
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论