Siber suçlular kimliğe bürünüyor (yeni sekmede açılır) CircleCI, GitHub hesaplarını denemek ve çalmak için her iki şirket de onayladı.
İki firmaya göre, suçlular şu anda sürekli entegrasyon ve dağıtım platformu CircleCI’yi taklit ettikleri bir kimlik avı e-postası dağıtıyorlar.
E-posta GitHub kullanıcılarına gönderiliyor ve onları CircleCI’nin kullanıcı koşullarının ve gizlilik politikasının değiştiği ve yeni koşulları kabul etmek için GitHub hesaplarında oturum açmaları gerektiği konusunda uyarıyor.
GitHub uyarısı
Tahmin edebileceğiniz gibi, e-postanın altında alıcıların değişiklikleri “kabul etmek” için tıklayabilecekleri bir bağlantı vardır. Saldırganlar bu bilgileri ters proxy’ler aracılığıyla ilettiğinden, bunu yapanlar GitHub hesap kimlik bilgilerinin yanı sıra iki faktörlü (2FA) kimlik doğrulama kodlarının çalınması riskini taşır. Göre BleeBilgisayardonanım güvenlik anahtarlarına sahip kullanıcılar savunmasız değildir.
GitHub uyarısında, “GitHub’ın kendisi etkilenmezken, kampanya birçok mağdur kuruluşu etkiledi” dedi.
Çoklu saldırı alanları
CircleCI ayrıca forumlarında kullanıcıları devam eden saldırı konusunda uyaran ve şirketin ToS değişikliklerini görüntülemek için kullanıcılardan asla kimlik bilgilerini girmelerini istemeyeceğini yineleyen bir duyuru yayınladı.
Şirket, “CircleCI’den gelen tüm e-postalar yalnızca Circleci.com’a veya alt alan adlarına bağlantılar içermelidir” dedi.
Şimdiye kadar, kimlik avı e-postasını dağıtan birden çok alan doğrulandı:
- daire-ci[.]com
- e-postalar-circleci[.]com
- daire-cl[.]com
- email-circleci[.]com
Saldırganlar GitHub geliştiricisinin peşinde (yeni sekmede açılır) Hesaplara girmeyi başarırlarsa, yapacakları bir sonraki şey kişisel erişim belirteçleri (PAT’ler) oluşturmak, OAuth uygulamalarını yetkilendirmek ve hatta hesaba SSH anahtarları ekleyerek erişimi korumalarını sağlamak için. sahipleri şifreyi değiştirir.
Bundan sonra GitHub, özel depolardan veri alacaklarını ekledi. Şirket o zamandan beri bir dizi hesabı bloke etti ve güvenliği ihlal edildiği doğrulandı. Potansiyel olarak etkilenen tüm kullanıcıların hesap şifreleri sıfırlandı.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)
