Mga Pag-atake sa Phishing ng Gitlocker
Sa umuusbong na tanawin ng mga banta sa cybersecurity, lumitaw ang isang bagong kampanya sa pag-atake ng Gitlocker, na nagta-target sa mga repositoryo ng GitHub. Ang operasyong ito ay nagsasangkot ng mga malisyosong aktor na kinokompromiso ang mga account, nagpupunas ng mga nilalaman ng repositoryo, at humihiling sa mga biktima na makipag-ugnayan sa kanila sa pamamagitan ng Telegram para sa karagdagang mga tagubilin. Tinutukoy ng artikulong ito ang mga detalye ng kampanyang ito, ang modus operandi nito, at ang mga inirerekomendang hakbang sa seguridad upang maprotektahan laban sa mga naturang pag-atake.
Talaan ng mga Nilalaman
Attack Modus Operandi
Ang mga umaatake sa Gitlocker campaign ay partikular na nagta-target sa mga GitHub repository. Kapag nakakuha sila ng access sa isang repositoryo, nagpapatuloy sila sa pagpupunas ng mga nilalaman nito. Pagkatapos ay palitan ng pangalan ng mga attacker ang repository at mag-iwan ng README.me file na may ransom note, na nagtuturo sa mga biktima na makipag-ugnayan sa kanila sa Telegram.
Mga Ninakaw na Kredensyal
Ang banta ng aktor sa likod ng kampanyang ito, na tumatakbo sa ilalim ng hawakan ng Gitloker sa Telegram, ay lumilitaw na nakakuha ng access sa mga GitHub account gamit ang mga ninakaw na kredensyal. Sa pagpapanggap bilang isang cyber incident analyst, inaangkin nila na na-back up ang nakompromisong data at nag-aalok na tumulong sa pagpapanumbalik nito. Ang buong teksto ng ransom note ay mababasa:
'Sana mahanap ka ng maayos ng mensaheng ito. Ito ay isang agarang paunawa upang ipaalam sa iyo na ang iyong data ay nakompromiso, at kami ay nakakuha ng backup.'
Tugon at Rekomendasyon
Kasunod ng mga nakaraang pag-atake, pinayuhan ng GitHub ang mga user na baguhin ang kanilang mga password upang ma-secure ang kanilang mga account laban sa hindi awtorisadong pag-access. Napakahalaga ng pagkilos na ito para maiwasan ang mga malisyosong aktibidad gaya ng pagdaragdag ng mga bagong SSH key, pahintulot ng mga bagong app, o pagbabago ng mga miyembro ng team.
Pinahusay na Mga Panukala sa Seguridad
Upang maiwasan ang mga karagdagang kompromiso at makakita ng mga kahina-hinalang aktibidad, hinihikayat ang mga user na ipatupad ang mga sumusunod na hakbang sa seguridad:
- Paganahin ang Two-Factor Authentication (2FA) : Pagdaragdag ng karagdagang layer ng seguridad sa proseso ng pag-login.
- Magdagdag ng Passkey : Para sa isang secure, walang password na pag-login.
- Suriin at Bawiin ang Hindi Pinahintulutang Pag-access : Regular na suriin at pamahalaan ang mga SSH key, i-deploy ang mga key, at awtorisadong pagsasama.
- I-verify ang Mga Email Address : Tiyaking tama at secure ang lahat ng nauugnay na email address.
- Suriin ang Mga Log ng Seguridad ng Account : Subaybayan ang mga pagbabago sa repository upang matukoy ang anumang hindi awtorisadong pagbabago.
- Pamahalaan ang Webhooks : Regular na i-audit at pamahalaan ang mga webhook sa mga repositoryo.
Makasaysayang Konteksto ng Mga Kompromiso sa GitHub
Ang pag-atake ng Gitlocker ay hindi isang nakahiwalay na insidente. Ang mga GitHub account ay dati nang na-target at nakompromiso, na humahantong sa mga makabuluhang paglabag sa data.
Marso 2020 Microsoft Breach : Nakompromiso ng mga hacker ang account ng Microsoft, na nagnakaw ng mahigit 500GB ng mga file mula sa mga pribadong repositoryo. Habang ang ninakaw na data ay pangunahing binubuo ng mga sample ng code at mga pagsubok na proyekto, may mga alalahanin tungkol sa pagkakalantad ng mga pribadong API key at password. Ang banta ng aktor na ShinyHunters sa kalaunan ay nag-leak ng data nang libre pagkatapos ng unahang pagpaplano na ibenta ito.
Setyembre 2020 Phishing Campaign : Na-target ang mga user ng GitHub sa isang phishing campaign na kinasasangkutan ng mga pekeng notification ng CircleCI. Nilalayon ng mga attacker na nakawin ang mga kredensyal ng GitHub at 2FA code sa pamamagitan ng mga reverse proxy. Pagkatapos ikompromiso ang mga account, nag-exfiltrate sila ng data at nagdagdag ng mga bagong user account para mapanatili ang patuloy na pag-access.
Konklusyon
Binibigyang-diin ng Gitlocker Phishing Attack ang patuloy na banta sa mga online na repository at ang kahalagahan ng matatag na kasanayan sa seguridad. Sa pamamagitan ng pagpapatupad ng mga inirerekomendang hakbang sa seguridad at pananatiling mapagbantay, mas mapoprotektahan ng mga user ang kanilang mga GitHub account mula sa hindi awtorisadong pag-access at potensyal na pagkawala ng data. Habang patuloy na umuunlad ang mga banta sa cyber, ang pagpapanatili ng isang proactive na diskarte sa seguridad ay mahalaga para sa pag-iingat ng mahahalagang digital asset.