Hackernews 编译,转载请注明出处:
GitHub警告说,正在进行的网络钓鱼活动针对其用户,通过冒充CircleCI DevOps平台来窃取凭据和双重身份验证(2FA)代码。
该公司于9月16日获悉针对其用户的攻击,并指出网络钓鱼活动已经影响了除GitHub以外的许多受害组织。
网络钓鱼消息声称用户的CircleCI会话已过期,并试图诱骗收件人使用GitHub凭据登录。
“单击该链接会将用户带到一个类似GitHub登录页面的钓鱼网站,但会窃取输入的任何凭据。对于启用了基于TOTP的双因素身份验证(2FA)的用户,钓鱼网站还会将任何TOTP代码实时转发给黑客和GitHub,从而允许黑客侵入受基于TOTP的2FA保护的帐户。受硬件安全密钥保护的帐户不易受到这种攻击。”微软旗下公司发布的公告表示。
收件人被重定向到假冒GitHub登录页面的网络钓鱼页面,该页面旨在实时窃取用户输入的凭据和2FA代码。
该公司指出,受硬件安全密钥保护的账户不易受到这种攻击。
攻击者使用的策略包括快速创建GitHub个人访问令牌(PAT)、授权OAuth应用程序或向帐户添加SSH密钥,以便在用户更改密码时保持对帐户的访问。
在其他情况下,攻击者会立即下载受感染用户可以访问的私有存储库内容,包括组织帐户和其他合作者拥有的内容。
攻击者使用VPN或代理提供商,通过受感染的用户帐户下载私有存储库数据。
如果被盗帐户具有组织管理权限,则攻击者可能会创建新的GitHub用户帐户并将其添加到组织中以建立持久性。
以下是此次活动中使用的已知网络钓鱼域名列表:
- circle-ci[.]com
- emails-circleci[.]com
- circle-cl[.]com
- email-circleci[.]com
“在进行分析时,我们为受影响的用户重置了密码,并删除了黑客添加的凭据,我们还通知了所有已知受影响的用户和组织。如果您没有收到我们的电子邮件通知,那么我们没有证据表明您的帐户和/或组织被黑客访问。我们暂停了所有已识别的黑客帐户,将继续监控恶意活动,并根据需要通知新的受害者用户和组织。”
消息来源:securityaffairs,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文