本周三(6月5日),智利网络安全公司 CronUp 的安全研究员Germán Fernández发现有黑客攻击了 GitHub 存储库,并删除了其中的部分信息。
据悉,此次攻击行动中,黑客利用了 Telegram 上的 Gitloker 账号冒充网络事件分析师,这一行为很可能是利用窃取的凭据入侵目标的 GitHub 账户而实现的。
随后,他们声称要窃取受害者的数据,并创建一个可以帮助恢复已删除数据的备份。他们重新命名了存储库,并添加了一个 README.me 文件,指示受害者在 Telegram 上联系他们。黑客在赎金声明中写道:“希望你收到这条信息时一切安好,这份紧急通知是告知您的数据已泄露,我们已经对数据做了备份。”
当 BleepingComputer 今天早些时候联系 GitHub 询问有关 Gitloker 勒索活动的更多细节时,发言人没有立即发表评论。
数十个 GitHub 仓库已受到影响,图源:BleepingComputer
在之前针对 GitHub 用户的攻击事件发生后,该公司建议用户立即更改密码,以确保账户安全,防止未经授权的访问。这样可以防止恶意行为,如添加新的 SSH 密钥、授权新应用程序或修改团队成员等等。
同时,该公司建议,为防止攻击者入侵你的 GitHub 账户并侦测可疑活动,应该注意:
启用双因素身份验证
为安全无密码登录添加密钥
审查并撤销对 SSH 密钥、部署密钥和授权集成的未授权访问
验证与账户关联的所有电子邮件地址
查看账户安全日志,跟踪版本库变更
管理版本库上的网络钩子
检查并撤销任何新的部署密钥
定期查看每个版本库的最近提交和协作者
事实上,GitHub 卷入“安全风波”已经不是新鲜事。
4月底,GitHub 曾曝出高危严重漏洞,存在于 comment 文件上传系统中,黑客利用该漏洞可以分发各种恶意软件。用户可以将文件上传到指定 GitHub comment 中(即便该条 comment 并不存在),也会自动生成下载链接。此链接包括存储库的名称及其所有者,可能会诱使受害者认为该文件是合法的。
今年3月底,黑客针对 Discord Top.gg 的GitHub 账户发起了供应链攻击,此次攻击导致账户密码、凭证和其他敏感信息被盗,同时也影响到了大量开发人员。
Checkmarx 在一份技术报告中提到,黑客在这次攻击中使用了多种TTP,其中包括窃取浏览器cookie接管账户、通过验证提交恶意代码、建立自定义Python镜像,以及向PyPI注册表发布恶意软件包等。
参考来源:https://www.bleepingcomputer.com/news/security/new-gitloker-attacks-wipe-github-repos-in-extortion-scheme/