按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

Github 成為網路勒索攻擊目標,駭客盜用帳號Gitloker 進行攻擊

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2024-06-26
  • 點閱次數:3033
Gitlocker

智利資安公司 CronUp 研究人員German Fernandez 發現駭客攻擊 Github 專案儲存庫,駭客疑似竊取使用者憑證進行攻擊活動,此次攻擊即是利用Telegram中的Gitloker 帳號,偽造為資安分析師進行釣魚行為。

German Fernandez 指出,今年從 2 月開始,一直有駭客透過竊取或刪除他人的Github 專案儲存庫來勒索受害者。

攻擊者竊取受害者的專案儲存庫之後,重新命名專案儲存庫,並添加一個檔案:README[.]me,告知受害者可透過 Telegram聯繫攻擊者,其勒索信內容為:「這是一個緊急通知,你的資料已經外洩,我們有幫你備份好資料並確保其安全」。

gitloker

German Fernandez指出,攻擊者主要利用 GitHub 的評論和通知功能,並透過 notifications@github[.]com 發送釣魚郵件,在這次事件中,使用2個假冒的網域名稱:

  • Githubcareers[.]online
  • Githubcareers[.]online

在此次事件前,今年也有多起相關 Github 資安事件:

  • 2 月 22 日 Github 使用者 CodeLife234 回報一個朋友的帳號遭駭的資安事件,該事件是由於受害者點擊一個來自釣魚郵件的連結,該郵件偽造為招聘 GitHub 開發人員職位
  • Github 使用者 Mindgames 也聲稱收到來自 Github 偽造為招聘 GitHub 開發人員的釣魚信,寄件者被偽造為 notification@github[.]com
  • 另一位 Github 使用者回報稱收到一個偽造為 Github 通知系統發送的釣魚郵件,內容是告知受害者其帳號資料已經外洩,並提供連結以引導受害者至釣魚網站:https://githubcareer[.]online
  • Fernández 指出在 4 月 11 日的一個敲詐勒索的螢幕截圖,內容為 Gitloker 威脅一家 B2C 的公司,並聲稱已經竊取其資料,如不給 25 萬美金則會公開公司內部機密資料

而Github並不是第一次被針對作為攻擊的目標:

  • 2020 年 3 月,發現駭客自 2018 年 6 月以來持續攻擊微軟的帳號,並從其員工 Redmond 的私人專案儲存庫獲取超過 500 GB 的檔案
  • 2020 年 9 月,Github 警告存在針對使用者的釣魚攻擊,該次攻擊透過偽造 CircleCI 發送釣魚郵件給使用者,來竊取受害者的 Github 憑證

Github 建議受害的使用者採取以下措施:

  • 更換密碼
  • 檢查活動紀錄
  • 檢查自己的訪問權杖(Access Token)
  • 檢查授權的 OAuth 應用程式
  • 不要點擊授權任何不明來源的 OAuth 應用程式授權請求

為了防止帳號被入侵,可參考下列建議:

  • 啟用雙因子身分驗證
  • 檢查過去授權的 ssh key
  • 定期查看每個專案儲存庫最近的提交內容
回頁首