GitHub hat einen Hinweis auf eine möglicherweise laufende Phishing-Kampagne veröffentlicht, die darauf abzielt, Anmeldedaten und Codes für die Zwei-Faktor-Authentifizierung (2FA) zu stehlen, indem sie sich als die DevOps-Plattform CircleCI ausgibt.
Der zu Microsoft gehörende Code-Hosting-Dienst erklärte, er habe am 16. September 2022 von dem Angriff erfahren und fügte hinzu, die Kampagne betreffe „viele Opferorganisationen“.
In den betrügerischen Nachrichten wird behauptet, dass die CircleCI-Sitzungen abgelaufen sind und die Nutzer/innen sich mit ihren GitHub-Zugangsdaten anmelden sollen, indem sie auf einen Link klicken.
Eine andere gefälschte E-Mail, die CircleCI aufgedeckt hat, fordert die Nutzer/innen auf, sich bei ihren GitHub-Konten anzumelden und die neuen Nutzungsbedingungen und Datenschutzrichtlinien des Unternehmens zu akzeptieren, indem sie dem in der Nachricht eingebetteten Link folgen.
Unabhängig von der Verlockung wird die Zielperson auf eine täuschend echt aussehende GitHub-Anmeldeseite umgeleitet, die dazu dient, die eingegebenen Anmeldedaten sowie die TOTP-Codes (Time-based One Time Password) in Echtzeit zu stehlen und an den Angreifer zu übermitteln, wodurch eine Umgehung von 2FA ermöglicht wird.
„Konten, die durch Hardware-Sicherheitsschlüssel geschützt sind, sind für diesen Angriff nicht anfällig“, so Alexis Wales von GitHub.
Zu den anderen Taktiken, die der Angreifer anwendet, nachdem er sich unberechtigten Zugang zum Benutzerkonto verschafft hat, gehören die Erstellung von GitHub Personal Access Tokens (PATs), die Autorisierung von OAuth-Anwendungen oder das Hinzufügen von SSH-Schlüsseln, um den Zugang auch nach einer Passwortänderung zu erhalten.
Der Angreifer wurde auch dabei beobachtet, wie er private Repository-Inhalte herunterlud und sogar neue GitHub-Konten für eine Organisation erstellte und hinzufügte, wenn das kompromittierte Konto über Organisationsverwaltungsberechtigungen verfügte.
GitHub hat nach eigenen Angaben Schritte unternommen, um Passwörter zurückzusetzen und die böswillig hinzugefügten Anmeldedaten der betroffenen Nutzer/innen zu entfernen, die Betroffenen zu benachrichtigen und die von den Angreifern kontrollierten Konten zu sperren. Das Ausmaß des Angriffs wurde nicht bekannt gegeben.
Das Unternehmen fordert Organisationen außerdem auf, die Verwendung von Phishing-resistenten Hardware-Sicherheitsschlüsseln zu erwägen, um solche Angriffe zu verhindern.
Der jüngste Phishing-Angriff ereignete sich etwas mehr als fünf Monate, nachdem GitHub Opfer einer gezielten Kampagne wurde, bei der OAuth-Benutzer-Tokens von Drittanbietern, die von Heroku und Travis CI verwaltet werden, missbraucht wurden, um private Repositories herunterzuladen.