标题:“Github遭受攻击!专家警告用户采取措施保护自己”
智利资安公司CronUp的研究人员German Fernandez最近发现有骇客正在攻击Github的项目代码库,并被怀疑窃取用户凭证以进行攻击活动。这次攻击是利用Telegram中的假冒账号Gitloker,冒充资安专家进行钓鱼行为。
German Fernandez指出,自今年2月开始,就一直有骇客通过窃取或删除他人的Github代码库来勒索受害者。
攻击者窃取受害者的代码库后,会重新命名项目,添加一个名为“README [.] me”的文件,告知受害者可以通过Telegram联系他们。勒索信的内容是:“这是一封紧急通知,你的数据已经泄露,我们已经为你备份数据并确保安全。”
German Fernandez指出,攻击者主要利用Github的评论和通知功能,并通过notifications@github[.]com发送钓鱼邮件。在这次事件中,使用了两个假冒的域名:
Githubcareers[.]online
Githubcareers[.]online
今年之前,也发生过多起类似的Github资安事件:
2月22日,Github用户CodeLife234报告了一个朋友的账号遭窃的事件。该事件是由于受害者点击一封假冒的招聘Github开发人员职位的邮件链接所导致的。
Github用户Mindgames也声称收到了一封自称是Github发来的假冒招聘邮件,寄件者被冒充为notification@github[.]com。
另一位Github用户报告称收到了一封假冒的Github通知系统发来的邮件,内容是告知受害者其账号信息已经泄露,并提供链接引导受害者访问钓鱼网站:https://githubcareer[.]online。
Fernández指出,有一个关于勒索事件的屏幕截图,发生在4月11日,内容是Gitloker威胁一家B2C公司,并声称已经窃取他们的数据,如果不给予25万美元的话就会公布公司的内部机密资料。
Github并不是第一次被作为攻击目标:
2020年3月,发现有骇客自2018年6月起持续攻击微软的员工Redmond的私人代码库,获取超过500GB的文件。
2020年9月,Github警告存在针对用户的钓鱼攻击。该次攻击是通过假冒CircleCI发送钓鱼邮件给用户,以窃取用户的Github凭证。
Github建议受害的用户采取以下措施:
更改密码
检查活动记录
检查自己的访问令牌(Access Token)
检查授予的OAuth应用程序
不要点击授予任何不明来源的OAuth应用程序授权请求。
为了防止账号被入侵,可参考以下建议:
启用双因素身份验证
检查过去授予的ssh key
定期查看每个代码库最