GitHub用戶正成為網(wǎng)絡(luò)釣魚和勒索活動(dòng)的目標(biāo)，該活動(dòng)利用網(wǎng)站的通知系統(tǒng)和惡意 OAuth 應(yīng)用程序詐騙受害者，勒索金額從1000美元到25萬美元不等。而根據(jù)GitHub 社區(qū)在今年二月發(fā)起的討論顯示，該活動(dòng)已持續(xù)了近四個(gè)月。

GitHub網(wǎng)絡(luò)釣魚活動(dòng)勒索受害者，勒索金額高達(dá)25萬美元

“威脅行為者欺騙合法公司以獲取內(nèi)容訪問權(quán)已經(jīng)不是什么新鮮事了，但是威脅行為者為了獲取訪問權(quán)而不擇手段的做法并不常見。”Cofense 網(wǎng)絡(luò)情報(bào)團(tuán)隊(duì)經(jīng)理 Max Gannon 在給 SC Media 的一封電子郵件中說："更不尋常的是，威脅行為者在獲得訪問權(quán)限后，似乎只是利用這些賬戶進(jìn)行勒索，而不是執(zhí)行更高級(jí)的操作，如將惡意軟件上傳到 repos 以感染更多的人。”

Fernández在帖子中提供了更多與Gitloker電報(bào)有關(guān)的其他勒索騙局的證據(jù)，其中包括4月份的一份電報(bào)，威脅稱如果不支付25萬美元，就會(huì)泄露據(jù)稱在某組織的GitHub repos中發(fā)現(xiàn)的機(jī)密信息；2月初的另一份電報(bào)則要求在24小時(shí)內(nèi)支付1000美元，以防止來自未指定泄露源的數(shù)據(jù)曝光。

GitHub網(wǎng)絡(luò)釣魚活動(dòng)利用評(píng)論發(fā)送電子郵件從而獲取訪問權(quán)

CronUp 安全研究員赫爾曼-費(fèi)爾南德斯（Germán Fernández）上周在社交媒體上發(fā)表的一篇文章揭示了這一騙局的新伎倆。

當(dāng)目標(biāo)用戶的用戶名在評(píng)論中被提及（即被標(biāo)記）時(shí)，他們就會(huì)被卷入騙局，從而觸發(fā)從 notifications@github.com（一個(gè)合法的 GitHub 電子郵件地址）向他們發(fā)送電子郵件。

攻擊者留下的評(píng)論被設(shè)計(jì)成看起來像來自 GitHub 工作人員的電子郵件，收到通知郵件的不知情用戶可能不會(huì)意識(shí)到他們正在閱讀的是他們提到的評(píng)論內(nèi)容，而不是直接從 GitHub 發(fā)送的電子郵件。

來自 GitHub 社區(qū)討論的截圖顯示，郵件來源于他們被標(biāo)記的評(píng)論的唯一跡象是以 "Re: "開頭的主題行，以及郵件底部的一行字："您收到此郵件是因?yàn)槟惶峒?quot;。

這些釣魚評(píng)論聲稱來自 GitHub 工作人員，向用戶提供一份工作或提醒用戶注意所謂的安全漏洞。這些評(píng)論包括一個(gè)類似 GitHub 域名的網(wǎng)站鏈接，其中包括 githubcareers[.]online 和 githubtalentcommunity[.]online，該鏈接會(huì)提示目標(biāo)通過 OAuth 向外部應(yīng)用程序提供對(duì)其帳戶和存儲(chǔ)庫的某些訪問和控制。

如果該請(qǐng)求被批準(zhǔn)，攻擊者就會(huì)清除用戶 repos 中的內(nèi)容，代之以一個(gè) README 文件，指示用戶聯(lián)系 Telegram 上一個(gè)名為 "gitloker "的用戶以恢復(fù)數(shù)據(jù)。Gitloker 威脅行為者還會(huì)利用受損賬戶發(fā)布更多評(píng)論，從而觸發(fā)更多釣魚郵件，使受害者的賬戶面臨因其他用戶報(bào)告該騙局而被刪除的危險(xiǎn)。

保護(hù)GitHub 賬戶免受Gitloker 和類似詐騙的侵害

GitHub 至少從二月份開始就意識(shí)到了 Gitloker 的網(wǎng)絡(luò)釣魚和勒索活動(dòng)，一名工作人員在社區(qū)討論中表示："我們的團(tuán)隊(duì)目前正在努力解決這些主動(dòng)發(fā)送的網(wǎng)絡(luò)釣魚通知。”并提出了以下建議：

• 建議用戶利用GitHub 的濫用報(bào)告工具來通知他們垃圾郵件；
• 建議用戶不點(diǎn)擊可疑郵件中的鏈接或回復(fù)可疑郵件，警惕授權(quán) OAuth 應(yīng)用程序，因?yàn)檫@些應(yīng)用程序會(huì)將用戶的 GitHub 數(shù)據(jù)暴露給第三方；
• 定期檢查與用戶賬戶綁定的授權(quán) OAuth 應(yīng)用程序；
• 建議用戶應(yīng)取消對(duì)任何未使用或可疑 OAuth 應(yīng)用程序的訪問權(quán)限；
• 建議GitHub用戶驗(yàn)證連接到repo的應(yīng)用程序的合法性，謹(jǐn)防網(wǎng)絡(luò)釣魚；
• 制定GitHub的備份策略，如果遇到服務(wù)器崩潰，也能夠快速恢復(fù)，避免對(duì)業(yè)務(wù)正常運(yùn)轉(zhuǎn)造成影響。

此外，該工作人員還指出，GitHub 不會(huì)通過任何形式的公開通知來招聘人才，此次網(wǎng)絡(luò)釣魚活動(dòng)也不是 GitHub 自身受到攻擊的結(jié)果。

GitHub 發(fā)言人還告訴SC Media，如果用戶認(rèn)為自己的賬戶可能已被泄露，應(yīng)查看自己的 GitHub 活動(dòng)會(huì)話和個(gè)人訪問令牌，更改 GitHub 密碼并重置雙因素恢復(fù)代碼。

GitHub 發(fā)言人在一封電子郵件中表示：“GitHub 會(huì)調(diào)查平臺(tái)上所有濫用或可疑活動(dòng)的報(bào)告，并在內(nèi)容或活動(dòng)違反我們的可接受使用政策時(shí)采取行動(dòng)。”

不過，GitHub 沒有回答有關(guān)是否針對(duì)該活動(dòng)對(duì)其通知系統(tǒng)進(jìn)行了任何修改，以及截至 6 月份該活動(dòng)在整個(gè)網(wǎng)站的普及程度如何的問題。

來源：scmagazine；資料鏈接：https://www.scmagazine.com/news/github-phishing-campaign-wipes-repos-extorts-victims