Una campaña generalizada de phishing ha atacado casi
12.000 repositorios de GitHub con falsos problemas de «Alerta de
Seguridad», engañando a los desarrolladores para que autoricen una
aplicación OAuth maliciosa que otorga a los atacantes control total sobre
sus cuentas y código.
Todos los problemas de phishing de GitHub contienen el mismo texto,
advirtiendo a los usuarios de actividad inusual en su cuenta desde Reikiavik,
Islandia, y la dirección IP 53.253.117[.]8.
your GitHub account that appears to be from a new location or device».
El investigador de ciberseguridad Luc4m fue el primero en detectar la alerta
de seguridad falsa, que advertía a los usuarios de GitHub que su cuenta había
sido vulnerada y que debían actualizar su contraseña, revisar y administrar
las sesiones activas y habilitar la autenticación de dos factores para
proteger sus cuentas.
Sin embargo, todos los enlaces a estas acciones recomendadas conducen a una
página de autorización de GitHub para una aplicación OAuth llamada
«gitsecurityapp», que solicita numerosos permisos (ámbitos) muy riesgosos y que permitiría a un atacante acceder completamente a la
cuenta y los repositorios del usuario.
Los permisos solicitados y el acceso que proporcionan se enumeran a
continuación:
- repo: Otorga acceso completo a repositorios públicos y privados.
- user: Capacidad de lectura y escritura en el perfil del usuario.
-
read:org: Leer la membresía de la organización, los proyectos de la
organización y la membresía del equipo. -
read:discussion, write:discussion: Acceso de lectura y escritura a las
discusiones. - gist: Acceso a los gists de GitHub.
- delete_repo: Permiso para eliminar repositorios.
-
workflows, workflow, write:workflow, read:workflow, update:workflow: Control
sobre los flujos de trabajo de GitHub Actions.
Si un usuario de GitHub inicia sesión y autoriza la aplicación OAuth
maliciosa, se generará un token de acceso y se enviará a la dirección de
devolución de llamada de la aplicación, que en esta campaña ha sido varias
páginas web alojadas en onrender[.]com (Render).
Si se vio afectado por este ataque de phishing y autorizó por error a la
aplicación OAuth maliciosa, debe revocar su acceso inmediatamente.
Para ello, acceda a la
configuración de GitHub y luego a
Aplicaciones. En la pantalla Aplicaciones, revoque el acceso a cualquier
aplicación de GitHub u OAuth que le resulte desconocida o sospechosa. En esta
campaña, debe buscar aplicaciones con nombres similares a
«gitsecurityapp».
A continuación, busque acciones de GitHub (flujos de trabajo) nuevas o
inesperadas y si se crearon gists privados. Finalmente, rote sus credenciales
y tokens de autorización.
Fuente:
BC