一场大规模的网络钓鱼活动正以伪造的安全警报为手段,瞄准 GitHub 上的代码仓库,这有可能危及数以千计开发者的账户安全。
网络安全专家警告称,这些精心策划的攻击可能会让黑客完全掌控受害者的代码仓库以及个人信息。
安全研究员 Luc4m 率先发现了这场针对近 1.2 万个 GitHub 代码仓库展开的网络钓鱼行动,攻击者通过创建虚假的 “安全警报” 问题来实施诈骗。
攻击者创建了诸如 “GitHub Notification” 这类具有欺骗性名称的 GitHub 账户,然后在知名的安全代码仓库中创建问题,标题赫然为 “安全警报:异常访问尝试” 。
虚假的 GitHub “安全警报”
虚假警报内容写道:“我们检测到您的 GitHub 账户有一次登录尝试,该尝试似乎来自新的位置或设备”。
这条消息始终声称可疑活动源自冰岛雷克雅未克,关联的 IP 地址为 53.253.117.8。这次攻击尤其危险,因为它利用了 OAuth 身份验证协议。
当毫无防备的开发者点击提供的链接以图保护自己的账户时,他们会被引导至授权一个名为 “gitsecurityapp” 的恶意 OAuth 应用程序。这个恶意应用程序会请求一系列广泛的权限,其中包括:
1.repo:对公共和私有代码仓库的完全访问权限
2.user:对用户个人资料数据的读写访问权限
3.read:org:访问组织成员信息的权限
4.gist:访问 GitHub gists的权限
5.delete_repo:删除代码仓库的权限
6.workflows:对 GitHub Actions 工作流程的控制权
一旦这些权限被授予,攻击者就能窃取敏感代码、修改代码仓库,甚至删除整个项目。
这场网络钓鱼活动始于 2025 年 3 月 16 日,目前仍在持续。从被攻击代码仓库数量的异常情况来看,GitHub 正在努力缓解此次攻击造成的影响。
防护措施
可能与这些虚假安全警报有过交互的 GitHub 用户应立即采取行动,保护自己的账户和代码:
1.通过 GitHub Settings > Applications ,撤销对任何可疑 OAuth 应用程序的访问权限。
2.尤其要留意名称类似 “gitsecurityapp” 的应用程序。
3.修改账户密码,并更换所有授权令牌。
4.检查代码仓库是否有意外的修改或新创建的 GitHub Actions 工作流程。
随着网络钓鱼技术不断升级,对于开发者而言,保持警惕并实施诸如双因素身份验证等强有力的安全措施,对于保护其代码和凭证愈发关键。
发表评论
您还未登录,请先登录。
登录