Cyberkriminella utger sig som (öppnas i en ny flik) CircleCI för att försöka stjäla GitHub-konton, bekräftade de två företagen.
Enligt de två företagen distribuerar brottslingarna för närvarande ett nätfiskemail, där de utger sig för att vara den kontinuerliga integrations- och leveransplattformen CircleCI.
E-postmeddelandet skickas till GitHub-användare och meddelar dem att CircleCIs användarvillkor och sekretesspolicy har ändrats och att de måste logga in på sina GitHub-konton för att acceptera de nya villkoren.
GitHub Friskrivningsklausul
Som du kan förvänta dig finns det en länk längst ner i e-postmeddelandet som mottagarna kan klicka på för att "acceptera" ändringarna. De som gör detta riskerar att få sina GitHub-kontouppgifter stulna, såväl som tvåfaktorsautentiseringskoder (2FA), eftersom angripare överför denna information via omvända proxyservrar. Enligt BleepingComputer är användare med hårdvarusäkerhetsnycklar inte sårbara.
"Även om GitHub inte påverkades, påverkade kampanjen många offerorganisationer," sa GitHub i sin ansvarsfriskrivning.
Flera attackområden
CircleCI publicerade också ett tillkännagivande på sina forum, varnade användare om den pågående attacken och upprepade att företaget aldrig kommer att be användarna att ange sina referenser för att se ändringar i användarvillkoren.
"Alla e-postmeddelanden från CircleCI bör endast innehålla länkar till circleci.com eller dess underdomäner", betonade företaget.
Hittills har flera domäner bekräftats distribuera nätfiskemeddelandet:
- cirkel herecom
- emails-circlecicom
- cirkel-keycom
- email-circlecicom
Angripare letar efter GitHub-utvecklarkonton (öppnas i en ny flik), och om de lyckas få åtkomst till ett, är nästa sak de kommer att göra att skapa personliga åtkomsttokens (PAT), auktorisera OAuth-appar och till och med lägga till SSH-nycklar till kontot. , för att säkerställa att de behåller åtkomst även efter att ägare har ändrat sitt lösenord.
Efter det, tillade GitHub, kommer de att hämta data från privata arkiv. Sedan dess har företaget blockerat flera konton, som har bekräftats vara komprometterade. Alla potentiellt drabbade användare har fått sina kontolösenord återställda.
Via: BleepingComputer (öppnas i en ny flik)