GitHub-gebruikers doelwit van phishingaanval die ook 2FA-codes steelt

[Captain Kirk]

Gebruikers van het populaire ontwikkelaarsplatform GitHub zijn het doelwit van een nieuwe phishingaanval waarbij ook wordt geprobeerd om codes voor tweefactorauthenticatie (2FA) te stelen. Daarvoor waarschuwen GitHub en CircleCI. De laatstgenoemde is een populair devops-platform gebruikt voor softwareontwikkeling dat met GitHub is te integreren.

Aanvallers versturen berichten die van CircleCI afkomstig lijken en stellen dat de ontvanger op GitHub moet inloggen om de nieuwe algemene voorwaarden te accepteren. De link in het bericht wijst echter naar een phishingpagina. Deze pagina probeert niet alleen de inloggegevens van GitHub-gebruikers te bemachtigen, maar in het geval ze 2FA hebben ingeschakeld ook hun 2FA-codes in real-time.

Wanneer de aanvaller toegang tot het GitHub-account heeft verkregen maakt de aanvaller GitHub personal access tokens (PATs) aan, die als alternatief voor wachtwoorden zijn te gebruiken, worden OAuth-applicaties geautoriseerd en SSH-keys aan het account toegevoegd om toegang te behouden, mocht de gebruiker zijn wachtwoord wijzigen. Daarnaast download de aanvaller private repositories van de gecompromitteerde gebruiker.

GitHub heeft inmiddels alle gedupeerde gebruikers en organisaties die het heeft kunnen identificeren gewaarschuwd en hun wachtwoorden gereset. Daarnaast zijn accounts van de aanvaller uitgeschakeld.

 

 

bron: https://www.security.nl