Los ciberdelincuentes se están haciendo pasar por (se abre en una nueva pestaña) CircleCI para intentar robar cuentas de GitHub, confirmaron las dos compañías.
Según las dos empresas, los delincuentes están distribuyendo actualmente un correo electrónico de phishing, en el que se hacen pasar por la plataforma de integración y entrega continua, CircleCI.
El correo electrónico se envía a los usuarios de GitHub para notificarles que los Términos de servicio y la Política de privacidad de CircleCI han cambiado y que deben iniciar sesión en sus cuentas de GitHub para aceptar los nuevos términos.
Descargo de responsabilidad de GitHub
Como era de esperar, hay un enlace en la parte inferior del correo electrónico en el que los destinatarios pueden hacer clic para "aceptar" los cambios. Aquellos que hacen esto corren el riesgo de que les roben las credenciales de su cuenta de GitHub, así como los códigos de autenticación de dos factores (2FA), ya que los atacantes transmiten esta información a través de proxies inversos. Según BleepingComputer, los usuarios con claves de seguridad de hardware no son vulnerables.
“Si bien GitHub en sí no se vio afectado, la campaña sí impactó a muchas organizaciones de víctimas”, dijo GitHub en su descargo de responsabilidad.
Varias áreas de ataque
CircleCI también publicó un anuncio en sus foros, advirtiendo a los usuarios sobre el ataque en curso y reiterando que la empresa nunca pedirá a los usuarios que ingresen sus credenciales para ver los cambios en los ToS.
“Todos los correos electrónicos de CircleCI solo deben incluir enlaces a circleci.com o sus subdominios”, enfatizó la compañía.
Hasta el momento, se han confirmado varios dominios que distribuyen el correo electrónico de phishing:
- círculo aquícom
- emails-circlecicom
- círculo-clavecom
- email-circlecicom
Los atacantes buscan cuentas de desarrollador de GitHub (se abre en una nueva pestaña), y si logran obtener acceso a una, lo siguiente que harán es crear tokens de acceso personal (PAT), autorizar aplicaciones OAuth e incluso agregar claves SSH a la cuenta. , para garantizar que conserven el acceso incluso después de que los propietarios cambien la contraseña.
Después de eso, agregó GitHub, tomarán datos de repositorios privados. Desde entonces, la compañía ha bloqueado varias cuentas, que han sido confirmadas comprometidas. A todos los usuarios potencialmente afectados se les han restablecido las contraseñas de sus cuentas.
Через: BleepingComputer (открывается в новой вкладке)