​GitHub用户注意,网络钓鱼活动冒充CircleCI窃取凭证
2022-10-4 09:3:25 Author: FreeBuf(查看原文) 阅读量:10 收藏

9月26日消息,GitHub警告称,有网络钓鱼活动冒充CircleCI DevOps平台,瞄准GitHub用户窃取证书和双因素身份验证(2FA)代码。

GitHub自9月16日发现该活动,钓鱼信息声称用户的CircleCI会话已过期,试图引导用户使用GitHub凭据登录。

点击钓鱼链接会跳转到一个类似GitHub登录页面的钓鱼网站,用户输入任何凭据都会被窃取用户输入的任何凭证。对于启用了基于TOTP的双因素认证(2FA)的用户,钓鱼网站还会将TOTP代码实时转发给威胁行为者和GitHub,以便威胁行为者侵入账户。GitHub指出,受硬件安全密钥保护的帐户不容易受到这种攻击。

在攻击者使用的策略是,快速创建GitHub个人访问令牌(pat),授权OAuth应用程序,或向帐户添加SSH密钥,以便在用户更改密码时保持对帐户的访问。

在其他情况下,攻击者使用VPN或代理供应商,立即下载受害用户的私有存储库内容,包括组织帐户和其他合作者拥有的内容。

如果被破坏的帐户拥有组织管理权限,攻击者可能会创建新的GitHub用户帐户,并将其添加到组织中,以方便后续访问和威胁活动。

以下是此次活动中使用的网络钓鱼域名列表:

circle-ci[.com

emails-circleci[.]com

circle-cl[.]com

email-circleci[.]com

“在进行分析后,我们为受影响的用户重置了密码并删除了威胁行为者添加的凭证,我们还通知了所有受影响用户和组织。”GitHub公告称,“已封禁所有已知的威胁行为者账户,我们将继续监测恶意活动并及时通知受影响用户。”

参考链接:

https://securityaffairs.co/wordpress/136211/hacking/phishing-circleci-github-accounts.html

精彩推荐


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651197831&idx=3&sn=07d3118716123f0ab783f7ee54bdf4b6&chksm=bd1d830c8a6a0a1afeedf778bba4892d53b86cc5de5be44db840e610aee41510564ca144dc0f#rd
如有侵权请联系:admin#unsafe.sh