บัญชี GitHub ถูกแฮ็กโดยผู้ไม่หวังดีที่แอบอ้างเป็นแพลตฟอร์ม CircleCI DevOps ผ่านทางแคมเปญฟิชชิ่งที่กำหนดเป้าหมายไปยังผู้ใช้งาน GitHub เพื่อขโมย credentials และ two-factor authentication (2FA)
ลักษณะการโจมตีของผู้โจมตี
- ผู้โจมตีจะทำการส่ง email ที่ระบุว่า "ข้อกำหนดของผู้ใช้ และนโยบายความเป็นส่วนตัวมีการเปลี่ยนแปลง และพวกเขาจำเป็นต้องลงชื่อเข้าใช้บัญชี GitHub เพื่อยอมรับการแก้ไข และใช้บริการต่อไป"
- โดยเป้าหมายของผู้โจมตีเพื่อขโมยข้อมูล credentials ของบัญชี GitHub และ two-factor authentication (2FA)
- หลังจากผู้โจมตีสามารถขโมย credentials ได้สำเร็จ จะทำการสร้าง personal access tokens (PATs) เพื่ออนุญาตโปรแกรม OAuth และเพิ่มคีย์ SSH ให้สามารถได้รับการเข้าถึงบัญชีโดยไม่ได้รับอนุญาต
โดเมนจริงของ CircleCI คือ [circleci.com] แต่โดเมนที่ใช้ส่งข้อความฟิชชิ่งจะมีดังต่อไปนี้
- circle-ci[.]com
- emails-circleci[.]com
- circle-cl[.]com
- email-circleci[.]com
การแก้ไข และการป้องกันการโจมตี
- GitHub ได้ระงับบัญชีที่คาดว่าเกี่ยวข้องกับการโจมตี และรีเซ็ตรหัสผ่านสำหรับผู้ใช้งานที่ได้รับผลกระทบ
- GitHub ได้ดำเนินการแก้ไขความปลอดภัยของบัญชี ซึ่งรวมถึงการแจ้งเตือนผู้ใช้งานที่ได้รับผลกระทบ
ที่มา : bleepingcomputer. technoidhost.
You must be logged in to post a comment.