GitHub dính phishing: Hàng nghìn tài khoản có nguy cơ bị chiếm đoạt qua OAuth

[WhiteHat Team]

Gần 12.000 kho lưu trữ trên GitHub đang trở thành con mồi béo bở cho một chiến dịch lừa đảo (phishing) quy mô lớn thông qua OAuth. Kẻ tấn công tạo cảnh báo giả mạo, cảnh báo về hoạt động đăng nhập bất thường từ Reykjavik, Iceland (IP 53.253.117.8).

Cách thức tấn công​

Nạn nhân được yêu cầu cập nhật mật khẩu, kiểm tra phiên đăng nhập và bật xác thực hai yếu tố (2FA). Tuy nhiên, tất cả các liên kết trong cảnh báo đều dẫn đến một trang cấp quyền cho ứng dụng OAuth độc hại có tên "gitsecurityapp", cho phép kẻ tấn công:

• Truy cập và chỉnh sửa kho lưu trữ công khai/lưu trữ riêng tư
• Xóa kho lưu trữ
• Điều khiển GitHub Actions
• Đọc và ghi dữ liệu tài khoản, dự án tổ chức, thảo luận và Gists

Khi cấp quyền, ứng dụng này sẽ nhận được mã truy cập (access token) và gửi về máy chủ của kẻ tấn công trên onrender.com.

Cách xử lý nếu bị ảnh hưởng​

1. Thu hồi quyền ứng dụng OAuth tại GitHub Settings → Applications, đặc biệt với ứng dụng tên tương tự gitsecurityapp.
2. Kiểm tra hoạt động đáng ngờ, bao gồm GitHub Actions mới hoặc Private Gists bị tạo.
3. Đổi thông tin cá nhân như thay đổi mật khẩu và cập nhật API tokens.

Theo Bleeping Computer​