GitHub’ın meşru altyapısını suistimal ederek geliştiricileri hedef alan yeni bir kimlik avı kampanyası başlatıldı.
Bu karmaşık saldırı, gerçek GitHub e-posta adreslerinden gönderilen sahte iş tekliflerini içeriyor ve özellikle şirket depolarına yönetici erişimi olan geliştiriciler için kurumsal bilgi güvenliğine tehdit oluşturuyor.
GitHub Hesap Gaspı: Kimlik Avı Taktiği
Saldırı, bir e-postayla başlıyor [email protected]meşru bir GitHub adresi.
E-postada GitHub’ın deneyimli bir geliştirici aradığı iddia ediliyor. Yıllık 180.000 dolarlık cazip bir maaş ve cömert yan haklar sunuyor. Alıcılar e-postadaki bir bağlantı üzerinden başvuruda bulunmaya davet ediliyor.
Gerçek bir adresten gelmesine rağmen, e-posta birkaç kırmızı bayrak kaldırıyor. İK ekibinin iş teklifleri için bir bildirim adresi kullanması alışılmadık bir durum ve e-posta konusu genellikle iş teklifiyle uyuşmuyor, bu yüzden bunun yerine birkaç GitHub kullanıcı adı listeliyorlar.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN -14-day free trial
Cazip maaşla dikkati dağılanlar bu tutarsızlıkları gözden kaçırabilir. Bağlantıya tıklamak alıcıları githubtalentcommunity gibi sahte bir GitHub kariyer sitesine yönlendirir[.]çevrimiçi veya githubcareers[.]çevrimiçi.
Burada geliştiricilerden GitHub hesaplarına giriş yapmaları ve özel depolara erişim ve bunları silme yetkisi de dahil olmak üzere kapsamlı izinler talep eden kötü amaçlı bir OAuth uygulamasını yetkilendirmeleri isteniyor.
Sonuçlar: Depo Silme ve Fidye Talebi
Kaspersky raporlarına göre saldırganlar, kötü amaçlı OAuth uygulaması yetkilendirildikten sonra verilen izinleri kötüye kullanıyor.
Kurbanın depolarını boşaltırlar, adlarını değiştirirler ve geride tek bir README.me dosyası bırakırlar.
Bu dosya, verilerin yedeklendiğini iddia eden ve kurbanın verileri geri yüklemek için Telegram’daki bir Gitloker kullanıcısıyla iletişime geçmesini söyleyen bir fidye notu içeriyor.
Saldırganlar bu kimlik avı e-postalarını GitHub’ın tartışma sistemini kullanarak gönderiyorlar. Zaten tehlikeye atılmış hesapları kullanarak, çeşitli başlıklar altında mesajlar oluşturuyorlar ve birden fazla kullanıcıyı etiketliyorlar.
Sonuç olarak, etiketlenen tüm kullanıcılar meşru bir e-posta adresinden e-posta alıyor ve bu da saldırının inandırıcı görünmesini sağlıyor.
Bu tür mesajlar genellikle gönderildikten hemen sonra silinir, bu da tespiti daha da zorlaştırır.
GitHub Kimlik Avı Saldırılarına Karşı Korunma
Deneyimli geliştiriciler bile bu tür karmaşık kimlik avı taktiklerinin kurbanı olabilir. Bu saldırılara karşı korunmak için şu önerileri takip etmek çok önemlidir:
- E-posta Ayrıntılarını İnceleyin: Konu, metin ve gönderici adresi dahil olmak üzere bir e-postanın tüm yönlerini dikkatlice kontrol edin. Tutarsızlıklar genellikle kazara bir hatadan ziyade bir kimlik avı girişimini gösterir.
- Şüpheli Bağlantılara Tıklamaktan Kaçının: GitHub’dan şüpheli bir e-posta alırsanız, herhangi bir bağlantıya tıklamayın ve e-postayı GitHub desteğine bildirin.
- OAuth Uygulamalarında Dikkatli Olun: Bilinmeyen OAuth uygulamalarını asla yetkilendirmeyin. GitHub hesabınızdaki yetkili uygulamaların listesini düzenli olarak inceleyin ve şüpheli olanları kaldırın.
Geliştiriciler, uyanık kalarak ve bu yönergeleri izleyerek kendilerini ve kuruluşlarını bu tür kötü amaçlı kimlik avı kampanyalarından koruyabilirler.
Saldırganlar yöntemlerini geliştirdikçe, farkındalık ve proaktif önlemler bu tür tehditlere karşı en iyi savunma olmaya devam ediyor.
Protect Your Business with Cynet Managed All-in-One Cybersecurity Platform – Try Free Trial