Учетные записи GitHub украдены поддельными учетными записями CircleCI

Киберпреступники выдают себя за CircleCI, чтобы попытаться украсть учетные записи GitHub, как компании подтвердили.

По данным двух фирм, преступники в настоящее время распространяют фишинговое электронное письмо, в котором они выдают себя за платформу непрерывной интеграции и доставки CircleCI.

Электронное письмо отправляется пользователям GitHub и предупреждает их об изменении условий использования и политики конфиденциальности CircleCI и о том, что им необходимо войти в свои учетные записи GitHub, чтобы принять новые условия.

Предупреждение GitHub

Как и следовало ожидать, в нижней части электронного письма есть ссылка, по которой получатели могут щелкнуть, чтобы «принять» изменения. Те, кто это делает, рискуют украсть свои учетные данные GitHub, а также коды двухфакторной (2FA) аутентификации, поскольку злоумышленники передают эту информацию через обратные прокси. Согласно BleepingComputer, пользователи с аппаратными ключами безопасности не уязвимы.

«Хотя сам GitHub не пострадал, кампания затронула многие организации-жертвы», — говорится в предупреждении GitHub.

Несколько доменов атаки

CircleCI также опубликовала объявление на своих форумах, предупреждая пользователей о продолжающейся атаке и подтверждая, что компания никогда не будет просить пользователей вводить какие-либо учетные данные для просмотра изменений Условий использования.

«Любые электронные письма от CircleCI должны содержать только ссылки на circleci.com или его поддомены», — подчеркнули в компании.

На данный момент подтверждено наличие нескольких доменов, распространяющих фишинговое письмо: 

• circle-ci[.]com
• emails-circleci[.]com
• circle-cl[.]com
• email- кругци[.]com

Злоумышленникам нужны аккаунты разработчиков на GitHub. чтобы войти в нее, следующее, что они сделают, — это создадут токены личного доступа (PAT), авторизуют приложения OAuth и даже добавят ключи SSH к учетной записи, чтобы гарантировать, что они сохранят доступ даже после смены пароля владельцами.< /p>

После этого, добавил GitHub, они будут брать данные из частных репозиториев. С тех пор компания заблокировала несколько учетных записей, которые, как было подтверждено, были скомпрометированы. У всех потенциально затронутых пользователей были сброшены пароли их учетных записей.

• Это лучшие брандмауэры

Через: BleepingComputer