GitHub 警告称,9 月 16 日开始的网络钓鱼活动正在进行中,并通过冒充 CircleCI 持续集成和交付平台的电子邮件瞄准其用户。
虚假消息通知收件人用户条款和隐私政策已更改,他们需要登录其 GitHub 帐户以接受修改并继续使用服务。
威胁行为者的目标是通过反向代理中继它们来窃取 GitHub 帐户凭据和双因素身份验证 (2FA) 代码。
使用用于多因素身份验证 (MFA) 的硬件安全密钥保护的帐户不易受到此攻击。
“虽然 GitHub 本身没有受到影响,但该活动已经影响了许多受害组织,”GitHub 在周三的一份咨询中告知。
CircleCI 还在其论坛上发布了一条通知,以提高对恶意活动的认识,并解释说该平台永远不会要求用户输入凭据以查看其服务条款的更改。
“来自 CircleCI 的任何电子邮件都应该只包含指向 circleci.com 或其子域的链接,” CircleCI 的通知强调了这一点。
如果您认为您或您团队中的某个人可能不小心点击了此电子邮件中的链接,请立即轮换您的 GitHub 和 CircleCI 凭据,并审核您的系统是否有任何未经授权的活动
分发网络钓鱼邮件的网络钓鱼域试图模仿官方 CircleCI (circleci.com) 的网络钓鱼域。到目前为止,已确认以下内容:
- circle-ci[.]com
- 电子邮件-circleci[.]com
- circle-cl[.]com
- 电子邮件-circleci[.]com
在获得有效的帐户凭据后,威胁参与者会创建个人访问令牌 (PAT)、授权 OAuth 应用程序,有时甚至会在密码重置后将 SSH 密钥添加到帐户中以保持不变。
GitHub 报告称,在入侵后几乎立即从私有存储库中泄露了内容。威胁参与者使用 VPN 或代理服务使追踪他们变得更加困难。
如果被入侵的帐户具有组织管理权限,则黑客会创建新的用户帐户并将其添加到组织中以保持持久性。
GitHub 已暂停可以识别欺诈迹象的帐户。该平台已为受影响的用户重置密码,他们将看到有关该事件的个性化通知。
如果您尚未收到 GitHub 的通知,但有正当理由相信您可能是网络钓鱼活动的受害者,建议您重置您的帐户密码和 2FA 恢复代码,查看您的 PAT,并在可能的情况下开始使用硬件 MFA 密钥。
GitHub 还列出了所有用户应定期执行的这些安全检查,以确保隐秘的黑客没有破坏他们的帐户。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 黑客使用虚假的CircleCI通知窃取GitHub帐户
