Хакеры начали использовать фальшивые уведомления от GitHub для кражи данных

Хакеры запустили фишинговую кампанию, в которой они выдают себя за команды безопасности и найма GitHub.

Делается это с целью захватить репозитории, используя вредоносные OAuth-приложения. Также кампания направлена на компрометацию учетных записей разработчиков и последующее вымогательство.

Механизм атаки

С начала февраля множество разработчиков получили фальшивые предложения о работе или предупреждения о безопасности от notifications@github.com.

Эти письма перенаправляют жертв на фальшивые сайты, такие как githubcareers[.]online или githubtalentcommunity[.]online, где их просят авторизоваться в своих GitHub-аккаунтах и предоставить доступ новому OAuth-приложению.

Это приложение, в свою очередь, запрашивает доступ к личным репозиториям и другим данным пользователя, а также возможность удалять репозитории.

Последствия атаки

После получения доступа к репозиториям жертв, злоумышленники удаляют их содержимое, переименовывают репозиторий и добавляют файл README.me с инструкциями по восстановлению данных через Telegram.

Меры предосторожности

GitHub рекомендует пользователям принимать следующие меры для защиты своих аккаунтов:

• Не нажимать на ссылки и не отвечать на подобные уведомления, а сразу сообщать о них.
• Никогда не авторизовывать неизвестные OAuth-приложения, так как они могут открыть доступ к вашим данным для третьих лиц.
  
• Периодически проверять авторизованные OAuth-приложения.