GitHub dính phishing: Hàng nghìn tài khoản có nguy cơ bị chiếm đoạt qua OAuth

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
94
705 bài viết
GitHub dính phishing: Hàng nghìn tài khoản có nguy cơ bị chiếm đoạt qua OAuth
Gần 12.000 kho lưu trữ trên GitHub đang trở thành con mồi béo bở cho một chiến dịch lừa đảo (phishing) quy mô lớn thông qua OAuth. Kẻ tấn công tạo cảnh báo giả mạo, cảnh báo về hoạt động đăng nhập bất thường từ Reykjavik, Iceland (IP 53.253.117.8).

1742186001433.png

Cách thức tấn công​

Nạn nhân được yêu cầu cập nhật mật khẩu, kiểm tra phiên đăng nhập và bật xác thực hai yếu tố (2FA). Tuy nhiên, tất cả các liên kết trong cảnh báo đều dẫn đến một trang cấp quyền cho ứng dụng OAuth độc hại có tên "gitsecurityapp", cho phép kẻ tấn công:
  • Truy cập và chỉnh sửa kho lưu trữ công khai/lưu trữ riêng tư
  • Xóa kho lưu trữ
  • Điều khiển GitHub Actions
  • Đọc và ghi dữ liệu tài khoản, dự án tổ chức, thảo luận và Gists
Khi cấp quyền, ứng dụng này sẽ nhận được mã truy cập (access token) và gửi về máy chủ của kẻ tấn công trên onrender.com.

Cách xử lý nếu bị ảnh hưởng​

  1. Thu hồi quyền ứng dụng OAuth tại GitHub Settings → Applications, đặc biệt với ứng dụng tên tương tự gitsecurityapp.
  2. Kiểm tra hoạt động đáng ngờ, bao gồm GitHub Actions mới hoặc Private Gists bị tạo.
  3. Đổi thông tin cá nhân như thay đổi mật khẩu và cập nhật API tokens.
Theo Bleeping Computer
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
github oauth phishing
Bên trên