یک کمپین فیشینگ گسترده نزدیک به 12,000 مخزن در GitHub را هدف قرارداده است. این کمپین از طریق هشدارهای امنیتی جعلی، توسعهدهندگان را فریب داده تا یک برنامه OAuth مخرب را تأیید کنند تا به مهاجمان کنترل کامل بر حسابها و کدهایشان بدهد.
روش اجرای حمله فیشینگ به GitHub
در پیام فیشینگ که در GitHub منتشر شده، چنین آمده است:
“هشدار امنیتی: تلاش غیرمعمول برای دسترسی! ما یک تلاش ورود به حساب GitHub شما را شناسایی کردهایم که به نظر میرسد از یک مکان یا دستگاه جدید انجام شده است”
تمامی این پیامها شامل هشدارهایی در مورد فعالیت غیرمعمول در حساب کاربری قربانی هستند، که منبع آن Reykjavik، ایسلند و آدرس IP: 53.253.117.8 ذکر شده است.
این پیامهای جعلی، که نخستین بار توسط محقق امنیتی Luc4m کشف شدند، کاربران GitHub را ترغیب میکنند که رمز عبور خود را تغییر دهند، نشستهای فعال را بررسی کنند و احراز هویت دو مرحلهای را فعال نمایند تا حسابشان ایمن بماند.
با این حال، تمام لینکهای ارائهشده در این پیامها کاربران را به صفحه تأیید دسترسی برای یک برنامه OAuth مخرب به نام “gitsecurityapp” هدایت میکنند. این برنامه، مجوزهای خطرناکی درخواست میکند که در صورت تأیید، به مهاجمان دسترسی کامل به حساب و مخازن کد کاربر را میدهد.
مجوزهای درخواستشده و میزان دسترسی مهاجم در برنامه OAuth مخرب
اگر قربانی این برنامه مخرب را تأیید کند، مهاجم به موارد زیر دسترسی خواهد داشت:
- دسترسی کامل به مخازن عمومی و خصوصی (repo)
- خواندن و ویرایش پروفایل کاربری (user)
- دسترسی به اطلاعات تیمها و پروژههای سازمانی (read:org)
- دسترسی و ویرایش گفتگوها در بخش Discussions (read:discussion, write:discussion)
- دسترسی به Gistهای کاربر (gist)
- حذف مخازن کد (delete_repo)
- کنترل کامل بر روی GitHub Actions workflows (workflows, write:workflow, read:workflow, update:workflow)
پس از ورود و تأیید این برنامه مخرب توسط کاربر، یک توکن دسترسی تولید و به آدرس callback مهاجم ارسال میشود. در این کمپین، مهاجمان از سرویس onrender.com برای میزبانی صفحات فیشینگ استفاده کردهاند.
وضعیت حمله و واکنش GitHub
این حمله از ساعت 6:52 صبح به وقت شرقی(ET) در روز 16 مارس 2025 آغاز شده و همچنان ادامه دارد و همانطور که در ابتدا گفته شد حدود 12,000 مخزن که تاکنون هدف قرار گرفتهاند. با این حال، تغییر تعداد مخازن تحت تأثیر نشان میدهد که GitHub احتمالاً در حال حذف این پیامهای جعلی است.
توصیه های امنیتی
اگر به اشتباه مجوز دسترسی این برنامه مخرب را تأیید کردهاید، بلافاصله این مراحل را انجام دهید:
- لغو دسترسی برنامه OAuth: به GitHub Settings > Applications بروید و دسترسی هرگونه برنامه OAuth مشکوک، خصوصاً برنامههایی با نام مشابه “gitsecurityapp”، را لغو کنید.
- بررسی فعالیتهای غیرمعمول: وجود هرگونه GitHub Actions (Workflows) جدید یا مشکوک را بررسی کنید. بررسی کنید که آیا Gistهای خصوصی جدیدی ایجاد شده است یا خیر.
- تغییر رمزهای عبور و توکنهای دسترسی: رمز عبور GitHub خود را تغییر دهید. کلیدهای SSH، توکنهای دسترسی و احراز هویت API را تغییر دهید تا مهاجمان نتوانند مجدداً به حساب شما دسترسی پیدا کنند.
