Son haftalarda güvenlik araştırmacıları, kötü niyetli içerik sunmak için meşru GitHub bildirim mekanizmalarından yararlanan ayrıntılı bir kimlik avı kampanyası ortaya çıkardılar.
Mağdurlar, gerçek görünümlü taahhüt mesajları ve işbirlikçi güncellemeleri ile birlikte görünüşte otantik depo uyarıları alırlar. Daha yakından incelendiğinde, bildirim başlıkları değiştirilmiş gönderen adreslerini ve gizlenmiş bağlantıları ortaya çıkarır.
Kampanyanın karmaşıklığı, birçok e -posta ağ geçidinin ötesine geçmesine izin verdi ve geliştiriciler ve BT personeli arasında tehlikeye atılmış kimlik bilgilerinde artışa yol açtı.
İlk raporlar, birden fazla açık kaynaklı koruyucu beklenmedik şifre sıfırları ve yetkisiz depo çatalları bildirdiğinde ortaya çıktı. H4x0r.dz, Github Webhook bildirimlerini ele geçirmekten ve kimlik avı yüklerini eklemekten sorumlu kötü amaçlı yazılım varyantını belirledi.
Tipik kimlik avı e-postalarından farklı olarak, bu mesajlar üçüncü taraf GitHub uygulamalarındaki yanlış yapılandırmalardan yararlanarak geçerli DKIM ve SPF kayıtlarını korur.
Gömülü bağlantıyı tıklayan alıcılar, bir kimlik bilgisi hasat sayfasına inmeden önce bir URL kısaltma zinciri aracılığıyla yönlendirilir.
Kimlik avı e -postalarının analizi, kötü amaçlı yazılımın GitHub Bildirim Şablonuna özel HTML formlarını enjekte ettiğini gösterir.
.webp)
Formun eylem özniteliği, saldırganın kontrolü altında bir URL’ye işaret ederken, JavaScript kodu girilen kimlik bilgilerini yakalar ve AJAX sonrası isteği aracılığıyla bunları aktarır.
Webhook manipülasyonu yoluyla enfeksiyon mekanizması
Çekirdek enfeksiyon vektörü, aşırı geniş Webhook izinleriyle tehlikeye atılmış GitHub uygulamalarına bağlı.
Saldırganlar önce harici uygulamaların Push etkinliklerine abone olmasına izin veren popüler depoları belirler.
Makul bir ad altında kötü amaçlı bir uygulama kaydederek, olay abonelikleri kazanırlar ve bir webhook sırrı alırlar.
Saldırganın sunucusu, sırrı kullanarak gelen JSON yüklerini doğrular, ardından GitHub’ın e -posta hizmetine bildirimi iletmeden önce kötü amaçlı HTML eklemek için “itici” alanını değiştirir.
Enjeksiyon mantığının basitleştirilmiş bir versiyonu aşağıda görünür:-
function modifyPayload(payload) {
let template = payload. Body;
const phishingForm = ``;
payload. Body = template.replace('