黑客利用Gitloker账号对GitHub存储库发起攻击

FreeBuf 2024-06-07 19:15:15

本周三(6月5日),智利网络安全公司 CronUp 的安全研究员Germán Fernández发现有黑客攻击了 GitHub 存储库,并删除了其中的部分信息。

据悉,此次攻击行动中,黑客利用了 Telegram 上的 Gitloker 账号冒充网络事件分析师,这一行为很可能是利用窃取的凭据入侵目标的 GitHub 账户而实现的。

随后,他们声称要窃取受害者的数据,并创建一个可以帮助恢复已删除数据的备份。他们重新命名了存储库,并添加了一个 README.me 文件,指示受害者在 Telegram 上联系他们。黑客在赎金声明中写道:“希望你收到这条信息时一切安好,这份紧急通知是告知您的数据已泄露,我们已经对数据做了备份。”

当 BleepingComputer 今天早些时候联系 GitHub 询问有关 Gitloker 勒索活动的更多细节时,发言人没有立即发表评论。

数十个 GitHub 仓库已受到影响,图源:BleepingComputer

在之前针对 GitHub 用户的攻击事件发生后,该公司建议用户立即更改密码,以确保账户安全,防止未经授权的访问。这样可以防止恶意行为,如添加新的 SSH 密钥、授权新应用程序或修改团队成员等等。

同时,该公司建议,为防止攻击者入侵你的 GitHub 账户并侦测可疑活动,应该注意:

启用双因素身份验证

为安全无密码登录添加密钥

审查并撤销对 SSH 密钥、部署密钥和授权集成的未授权访问

验证与账户关联的所有电子邮件地址

查看账户安全日志,跟踪版本库变更

管理版本库上的网络钩子

检查并撤销任何新的部署密钥

定期查看每个版本库的最近提交和协作者

事实上,GitHub 卷入“安全风波”已经不是新鲜事。

4月底,GitHub 曾曝出高危严重漏洞,存在于 comment 文件上传系统中,黑客利用该漏洞可以分发各种恶意软件。用户可以将文件上传到指定 GitHub comment 中(即便该条 comment 并不存在),也会自动生成下载链接。此链接包括存储库的名称及其所有者,可能会诱使受害者认为该文件是合法的。

今年3月底,黑客针对 Discord Top.gg 的GitHub 账户发起了供应链攻击,此次攻击导致账户密码、凭证和其他敏感信息被盗,同时也影响到了大量开发人员。

Checkmarx 在一份技术报告中提到,黑客在这次攻击中使用了多种TTP,其中包括窃取浏览器cookie接管账户、通过验证提交恶意代码、建立自定义Python镜像,以及向PyPI注册表发布恶意软件包等。

参考来源:https://www.bleepingcomputer.com/news/security/new-gitloker-attacks-wipe-github-repos-in-extortion-scheme/

0 阅读:25

FreeBuf

简介:国内头部网络安全媒体。