Meerdere GitHub-gebruikers werden in de afgelopen dagen getroffen door een phishingcampagne. “GitHub zelf is niet geraakt, maar de campagne heeft veel slachtoffers gemaakt onder gebruikers”, waarschuwt de organisatie.

De aanvallers verzenden e-mails in de huisstijl van CircleCI, een populair DevOps-platform. De cybercriminelen beweren dat de gebruikersvoorwaarden van het platform zijn gewijzigd, zoals hieronder afgebeeld. De aanvallers verzoeken ontvangers om op hun GitHub-account in te loggen om de wijzigingen in te zien. Ingevulde gebruikersnamen, wachtwoorden en tweestapsverificatie (2FA)-codes worden gestolen en misbruikt.

Meerdere slachtoffers

Accounts met meerstapsverificatie (MFA) zijn immuun voor de aanval. Elke andere account loopt risico. GitHub liet in een verklaring weten dat er meerdere organisaties zijn getroffen.

Ook CircleCI waarschuwde voor de campagne. De organisatie benadrukte dat gebruikers nooit in hoeven te loggen om gewijzigde gebruikersvoorwaarden te zien. Ontvangen gebruikers een mail waarin het laatste wordt verzocht, dan is de mail niet door CircleCI verstuurd.

Misbruik

Slachtoffers die geldige gegevens invoeren worden gehackt. De aanvallers loggen in, maken toegangstokens aan en voegen OAuth-autorisaties toe om toegang te krijgen tot de applicaties van de account. In enkele gevallen voegden de aanvallers een SSH-sleutel toe, waardoor de accounts toegankelijk bleven na een wachtwoordreset.

Volgens GitHub beginnen de aanvallers direct na het inloggen met het wegsluizen van data uit repositories. De aanvallers gebruiken VPN- en proxydiensten om anoniem te blijven. Gestolen accounts met beheerdersrechten worden misbruikt om zoveel mogelijk nieuwe, gemachtigde accounts aan te maken. Mocht een organisatie de beheerdersaccount herstellen, dan bieden de aangemaakte accounts alsnog toegang tot een omgeving.

GitHub laat weten dat verdachte accounts actief worden opgeschort. De organisatie stelt de wachtwoorden van getroffen gebruikers opnieuw in. Slachtoffers worden door GitHub geïnformeerd over het incident. Gebruikers die vermoeden dat hun account is geraakt worden geadviseerd om hun wachtwoord te wijzigen en meerstapsverificatie in te schakelen.

Tip: Databescherming wordt steeds meer workload-specifiek (en software-defined)