Gitlocker Phishing-attacker
I det föränderliga landskapet av cybersäkerhetshot har en ny Gitlocker-attackkampanj dykt upp, inriktad på GitHub-förråd. Denna operation involverar illvilliga aktörer som äventyrar konton, rensar förvarsinnehåll och kräver att offer kontaktar dem via Telegram för ytterligare instruktioner. Den här artikeln går in i detaljerna för denna kampanj, dess arbetssätt och rekommenderade säkerhetsåtgärder för att skydda mot sådana attacker.
Innehållsförteckning
Attack Modus Operandi
Angripare i Gitlocker-kampanjen riktar sig specifikt mot GitHub-förråd. När de får tillgång till ett arkiv fortsätter de att rensa dess innehåll. Angriparna byter sedan namn på förvaret och lämnar en README.me-fil med en lösennota, som instruerar offren att kontakta dem på Telegram.
Stulna inloggningsuppgifter
Hotaktören bakom denna kampanj, som verkar under handtaget Gitloker på Telegram, verkar få tillgång till GitHub-konton med hjälp av stulna referenser. De utger sig för att vara en cyberincidentanalytiker och hävdar att de har säkerhetskopierat den komprometterade informationen och erbjuder sig att hjälpa till att återställa den. Den fullständiga texten i lösennotan lyder:
'Jag hoppas att det här meddelandet finner dig bra. Detta är ett brådskande meddelande för att informera dig om att dina data har äventyrats och vi har säkrat en säkerhetskopia.'
Svar och rekommendationer
Efter tidigare attacker har GitHub rekommenderat användare att ändra sina lösenord för att skydda sina konton mot obehörig åtkomst. Denna åtgärd är avgörande för att förhindra skadliga aktiviteter såsom tillägg av nya SSH-nycklar, auktorisering av nya appar eller modifiering av teammedlemmar.
Förbättrade säkerhetsåtgärder
För att förhindra ytterligare kompromisser och upptäcka misstänkta aktiviteter, uppmanas användare att implementera följande säkerhetsåtgärder:
- Aktivera tvåfaktorsautentisering (2FA) : Lägger till ett extra lager av säkerhet till inloggningsprocessen.
- Lägg till en lösenordsnyckel : För en säker, lösenordslös inloggning.
- Granska och återkalla obehörig åtkomst : Kontrollera och hantera SSH-nycklar regelbundet, distribuera nycklar och auktoriserade integrationer.
- Verifiera e-postadresser : Se till att alla associerade e-postadresser är korrekta och säkra.
- Granska kontosäkerhetsloggar : Spåra ändringar i arkivet för att identifiera eventuella obehöriga ändringar.
- Hantera Webhooks : Granska och hantera webhooks regelbundet på arkiv.
Historisk kontext av GitHub-kompromisser
Gitlocker-attacken är inte en isolerad händelse. GitHub-konton har tidigare riktats mot och äventyrats, vilket har lett till betydande dataintrång.
Mars 2020 Microsoft Breach : Hackare äventyrade Microsofts konto och stal över 500 GB filer från privata arkiv. Medan de stulna uppgifterna huvudsakligen bestod av kodprover och testprojekt, fanns det oro för exponeringen av privata API-nycklar och lösenord. Hotskådespelaren ShinyHunters läckte så småningom data gratis efter att först ha planerat att sälja den.
September 2020 Nätfiskekampanj : GitHub-användare riktades in i en nätfiskekampanj som involverade falska CircleCI-aviseringar. Angripare syftade till att stjäla GitHub-uppgifter och 2FA-koder via omvända proxyservrar. Efter att ha kompromissat med konton, exfiltrerade de data och lade till nya användarkonton för att bibehålla beständig åtkomst.
Slutsats
Gitlocker Phishing Attack understryker det ihållande hotet mot onlineförråd och vikten av robusta säkerhetsrutiner. Genom att implementera rekommenderade säkerhetsåtgärder och vara vaksamma kan användare bättre skydda sina GitHub-konton från obehörig åtkomst och potentiell dataförlust. När cyberhot fortsätter att utvecklas är det viktigt att upprätthålla ett proaktivt förhållningssätt till säkerhet för att skydda värdefulla digitala tillgångar.