แคมเปญฟิชชิ่งขนาดใหญ่ได้โจมตี repositories บน GitHub เกือบ 12,000 รายการ โดยสร้าง "Security Alert" ปลอมเพื่อหลอกให้นักพัฒนาอนุญาตให้แอป OAuth ที่เป็นอันตรายเข้าถึงบัญชีของพวกเขา ซึ่งทำให้ผู้โจมตีสามารถเข้าควบคุมบัญชี และโค้ดได้อย่างเต็มที่
โดยข้อความในฟิชชิ่งบน GitHub จะระบุว่า "Security Alert: Unusual Access Attempt เราตรวจพบความพยายามเข้าสู่ระบบบัญชี GitHub ของคุณจากตำแหน่งที่ตั้ง หรืออุปกรณ์ใหม่"
ข้อความฟิชชิ่งทั้งหมดบน GitHub มีข้อความลักษณะเดียวกัน โดยเตือนผู้ใช้งานว่ามีการเข้าสู่ระบบที่ผิดปกติจากเมืองเรคยาวิก ประเทศไอซ์แลนด์ และจาก IP Address 53.253.117.8
นักวิจัยด้านความปลอดภัยทางไซเบอร์ Luc4m เป็นคนแรกที่พบการแจ้งเตือนความปลอดภัยปลอม ซึ่งเตือนผู้ใช้ GitHub ว่าบัญชีของพวกเขาถูกบุกรุก และแนะนำให้เปลี่ยนรหัสผ่าน ตรวจสอบ และจัดการเซสชันที่ใช้งานอยู่ และเปิดใช้งานตรวจสอบสิทธิ์สองขั้นตอน (2FA) เพื่อรักษาความปลอดภัยให้กับบัญชีของตน
อย่างไรก็ตาม ลิงก์ทั้งหมดที่แนบมากับคำแนะนำเหล่านี้กลับนำผู้ใช้ไปยังหน้าการให้สิทธิ์ ของ GitHub สำหรับแอป OAuth ชื่อ "gitsecurityapp" ซึ่งร้องขอสิทธิ์การเข้าถึงที่มีความเสี่ยงสูง และจะทำให้ผู้โจมตีสามารถเข้าควบคุมบัญชี และ repositories ของผู้ใช้ได้อย่างสมบูรณ์
รายการสิทธิ์ที่ขอ และการเข้าถึงที่ได้รับ
- repo: ให้สิทธิ์เข้าถึง repositories สาธารณะ และส่วนตัวได้อย่างเต็มที่
- user: สามารถอ่าน และเขียนข้อมูลโปรไฟล์ของผู้ใช้
- read:org: อ่านข้อมูลสมาชิกองค์กร, โปรเจกต์ขององค์กร และการเป็นสมาชิกทีม
- read:discussion, write:discussion: อ่าน และเขียนเพื่อการเข้าถึงการสนทนา
- gist: เข้าถึง GitHub Gists
- delete_repo: มีสิทธิ์ลบ repositories
- workflows, workflow, write:workflow, read:workflow, update:workflow: ควบคุม GitHub Actions workflows ได้
หากผู้ใช้ GitHub ลงชื่อเข้าใช้ และอนุญาตให้แอป OAuth ที่เป็นอันตรายเข้าถึง ระบบจะสร้างโทเค็นการเข้าถึง และส่งกลับไปยัง callback address ของแอป ซึ่งในแคมเปญนี้พบว่าเป็นหน้าเว็บเพจที่โฮสต์บน onrender.com (Render)
โดยแคมเปญฟิชชิ่งนี้เริ่มต้นเมื่อเวลา 06:52 น. ET (19 มีนาคม 2025) และยังคงดำเนินต่อไป โดยมี repositories เกือบ 12,000 รายการ ตกเป็นเป้าหมายของการโจมตี อย่างไรก็ตาม จำนวน repositories ที่ได้รับผลกระทบมีการเปลี่ยนแปลงอยู่ตลอด ซึ่งบ่งชี้ว่า GitHub กำลังดำเนินการตอบสนองต่อการโจมตี
หากได้รับผลกระทบจากการโจมตีฟิชชิ่งนี้ และได้อนุญาตให้แอป OAuth ที่เป็นอันตรายเข้าถึงบัญชีของคุณ ควรเพิกถอนสิทธิ์การเข้าถึงทันที โดยไปที่ GitHub Settings จากนั้นเลือก Applications
จากหน้าจอแอปพลิเคชัน ให้เพิกถอนการเข้าถึงแอปที่ไม่คุ้นเคย หรือดูน่าสงสัย ให้ตรวจสอบ และเพิกถอนสิทธิ์ของ GitHub Apps หรือ OAuth Apps ที่มีชื่อคล้ายกับ "gitsecurityapp"
จากนั้นควรตรวจสอบ GitHub Actions (Workflows) ใหม่ หรือที่ผิดปกติ รวมถึงตรวจสอบว่ามีการสร้าง Gists ส่วนตัวโดยไม่ได้รับอนุญาตหรือไม่
สุดท้ายแนะนำให้เปลี่ยนรหัสผ่าน และ authorization tokens ของคุณ
ที่มา : bleepingcomputer
You must be logged in to post a comment.