GitHub advierte que en septiembre comenzó una campaña de phishing a gran escala dirigida a los usuarios 16: Los estafadores envían correos electrónicos con notificaciones falsas en nombre del servicio Circle CI., que se utiliza para el desarrollo y la implementación continuos.
Déjame recordarte que también dijimos que GitHub sustituirá el término “maestro” por uno más neutral, y también eso Los desarrolladores de GitHub revisan la política de publicación de exploits debido al escándalo.
Estos mensajes falsos informan a los destinatarios sobre cambios en la política de privacidad y los términos de uso., que aparentemente requiere que las personas inicien sesión en su cuenta de GitHub y acepten los cambios.
Como puedes adivinar, El objetivo de los atacantes es robar credenciales de GitHub y códigos de autenticación de dos factores que se transmiten a los atacantes a través de servidores proxy inversos.. Una vez obtenidas las credenciales, Se sabe que los atacantes crean tokens de acceso personal. (PAT), autorizar OAuth aplicaciones, y a veces agrega claves SSH para conservar el acceso a las cuentas incluso después de restablecer la contraseña.
CircleCI representantes también prevenido usuarios sobre falsificaciones y trataron de llamar la atención sobre esta campaña maliciosa. CircleCI enfatiza que el servicio nunca pedirá a los usuarios que ingresen credenciales para ver los cambios en la política de privacidad y los términos de uso..
Los dominios de phishing utilizados por los atacantes intentan imitar el dominio real de CircleCI. (circuloci.com). Hasta el momento se han confirmado las siguientes falsificaciones:
- círculo-ci[.]com
- círculos de correos electrónicos[.]com
- circulo-cl[.]com
- círculo-de-correo electrónico[.]com
GitHub informa que hay fugas de datos de repositorios privados inmediatamente después de las violaciones, con atacantes que utilizan VPN y servidores proxy para dificultar el seguimiento. Si la cuenta comprometida tiene altos privilegios, Los piratas informáticos crean nuevas cuentas para conservar el acceso al objetivo en el futuro..
Se informa que los especialistas de GitHub han suspendido cuentas en las que se ha identificado actividad sospechosa.. Usuarios afectados’ Se han restablecido las contraseñas y se les debe notificar el incidente..