Threat actor yang menyamar sebagai tim keamanan dan rekrutmen GitHub melakukan serangan phishing untuk membajak repositori menggunakan aplikasi OAuth berbahaya dalam kampanye pemerasan yang sedang berlangsung.
Sejak Februari, puluhan developper menerima tawaran pekerjaan palsu atau email peringatan keamanan dari "[email protected]" setelah ditandai dalam komentar spam yang ditambahkan ke masalah atau pull request di repo menggunakan akun GitHub yang dikompromikan.
Email phishing ini mengarahkan korban potensial ke situs githubcareers[.]online atau githubtalentcommunity[.]online, di mana mereka diminta untuk masuk ke akun GitHub mereka dan mengizinkan aplikasi OAuth baru yang meminta akses ke repositori pribadi, data pengguna pribadi, dan kemampuan untuk menghapus repositori. Banyak pengguna GitHub yang menjadi korban melaporkan bahwa akun mereka dinonaktifkan dan kehilangan akses ke semua repositori. Setelah mendapatkan akses ke repositori korban, penyerang menghapus kontennya, mengganti nama repositori, dan menambahkan file README.me dengan instruksi untuk menghubungi mereka di Telegram untuk memulihkan data.
GitHub telah meminta pengguna untuk melaporkan aktivitas berbahaya ini menggunakan alat pelaporan penyalahgunaan platform dan mengingatkan untuk tidak mengklik tautan mencurigakan atau mengizinkan aplikasi OAuth yang tidak dikenal.
Sumber:
https://www.bleepingcomputer.com
/news/security/gitloker-attacks-
abuse-github-notifications-to-
push-malicious-oauth-apps/
Sejak Februari, puluhan developper menerima tawaran pekerjaan palsu atau email peringatan keamanan dari "[email protected]" setelah ditandai dalam komentar spam yang ditambahkan ke masalah atau pull request di repo menggunakan akun GitHub yang dikompromikan.
Email phishing ini mengarahkan korban potensial ke situs githubcareers[.]online atau githubtalentcommunity[.]online, di mana mereka diminta untuk masuk ke akun GitHub mereka dan mengizinkan aplikasi OAuth baru yang meminta akses ke repositori pribadi, data pengguna pribadi, dan kemampuan untuk menghapus repositori. Banyak pengguna GitHub yang menjadi korban melaporkan bahwa akun mereka dinonaktifkan dan kehilangan akses ke semua repositori. Setelah mendapatkan akses ke repositori korban, penyerang menghapus kontennya, mengganti nama repositori, dan menambahkan file README.me dengan instruksi untuk menghubungi mereka di Telegram untuk memulihkan data.
GitHub telah meminta pengguna untuk melaporkan aktivitas berbahaya ini menggunakan alat pelaporan penyalahgunaan platform dan mengingatkan untuk tidak mengklik tautan mencurigakan atau mengizinkan aplikasi OAuth yang tidak dikenal.
Sumber:
https://www.bleepingcomputer.com
/news/security/gitloker-attacks-
abuse-github-notifications-to-
push-malicious-oauth-apps/