Een phishingcampagne op GitHub met valse security alerts heeft ongeveer 12.000 ontwikkelaars geprobeerd te verleiden tot het installeren van een kwaadaardige OAuth-app. Deze app zorgt er vervolgens voor dat de hackers volledige toegang en controle krijgen over de code van de getroffen accounts.
Hackers hebben ongeveer 12.000 GitHub-gebruikers aangevallen met een phishingcampagne door hen valse security alerts te sturen. Dit ontdekte securityonderzoeker securityonderzoeker Luc4m. In de verstuurde nepalarmmelding (standaard GitHub security alert) worden ontwikkelaars gewaarschuwd voor ongebruikelijke activiteit vanuit Reykjavik, IJsland, en het specifieke IP-adres 53.253.117.8.
Aanvalspad
Om hun accounts te beveiligen, worden slachtoffers opgeroepen bepaalde stappen te nemen, zoals het updaten van hun wachtwoord, het beheren van hun activiteiten en het instellen van tweefactorauthenticatie.
De bijgevoegde links leiden echter naar de installatie van een malafide ‘gitsecurityapp’ OAuth-app, die uitgebreide permissies vereist. Uiteindelijk kunnen de aanvallers volledige controle krijgen over het betreffende account en toegang krijgen tot de code-repositories.
De permissies die de valse app onder meer vraagt, zijn:
- repo – volledige toegang tot publieke en private repositories
- user – lees- en schrijfrechten
- read:org – toegang tot organisatiegegevens, projecten en teams
- read:discussion – lees- en schrijfrechten voor deelname aan discussies
- gist – toegang tot GitHub Gists
- delete_repo – verwijderen van repositories
- workflows, workflow, write:workflow, read:workflow, update:workflow – controle over GitHub Actions workflows
Wanneer een slachtoffer inlogt en de malafide OAuth-app autoriseert, wordt er een token aangemaakt en naar het callback-adres van de app teruggestuurd. Dit zijn verschillende webpagina’s op onrender.com.
De phishingcampagne begon op zondag 16 maart en is nog steeds actief. Het aantal getroffen slachtoffers fluctueert, mogelijk als gevolg van tegenmaatregelen door GitHub om de phishingaanval te bestrijden, schrijft BleepingComputer. GitHub zelf heeft nog niet gereageerd.
Actie ondernemen
Wanneer ontwikkelaars in de phishing-mail zijn getrapt en de kwaadaardige app hebben geïnstalleerd, kunnen zij wel een aantal maatregelen nemen om de schade zoveel mogelijk te beperken.
Als zij autorisatie hebben verleend, moeten zij direct iedere toegang tot onbekende of verdachte GitHub Apps of OAuth apps intrekken. Vooral apps die de eerder genoemde indicatie ‘gitsecurityapp’ hebben.
Daarnaast moet worden gezocht naar nieuwe of onverwachte GitHub Actions (workflows) en of private gists zijn aangemaakt. Last, but not least moeten mogelijk getroffen gebruikers hun inloggegevens en autorisatie-tokens routeren.
Lees ook: Microsoft: malvertising-campagne trof 1 miljoen pc’s