GitHub用户注意,网络钓鱼活动冒充CircleCI窃取凭证
2022-9-26 16:45:0 Author: www.freebuf.com(查看原文) 阅读量:14 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

9月26日消息,GitHub警告称,有网络钓鱼活动冒充CircleCI DevOps平台,瞄准GitHub用户窃取证书和双因素身份验证(2FA)代码。

GitHub自9月16日发现该活动,钓鱼信息声称用户的CircleCI会话已过期,试图引导用户使用GitHub凭据登录。

点击钓鱼链接会跳转到一个类似GitHub登录页面的钓鱼网站,用户输入任何凭据都会被窃取用户输入的任何凭证。对于启用了基于TOTP的双因素认证(2FA)的用户,钓鱼网站还会将TOTP代码实时转发给威胁行为者和GitHub,以便威胁行为者侵入账户。GitHub指出,受硬件安全密钥保护的帐户不容易受到这种攻击。

在攻击者使用的策略是,快速创建GitHub个人访问令牌(pat),授权OAuth应用程序,或向帐户添加SSH密钥,以便在用户更改密码时保持对帐户的访问。

在其他情况下,攻击者使用VPN或代理供应商,立即下载受害用户的私有存储库内容,包括组织帐户和其他合作者拥有的内容。

如果被破坏的帐户拥有组织管理权限,攻击者可能会创建新的GitHub用户帐户,并将其添加到组织中,以方便后续访问和威胁活动。

以下是此次活动中使用的网络钓鱼域名列表:

circle-ci[.com

emails-circleci[.]com

circle-cl[.]com

email-circleci[.]com

“在进行分析后,我们为受影响的用户重置了密码并删除了威胁行为者添加的凭证,我们还通知了所有受影响用户和组织。”GitHub公告称,“已封禁所有已知的威胁行为者账户,我们将继续监测恶意活动并及时通知受影响用户。”

参考链接:

https://securityaffairs.co/wordpress/136211/hacking/phishing-circleci-github-accounts.html


文章来源: https://www.freebuf.com/news/345637.html
如有侵权请联系:admin#unsafe.sh