A hackerek egy folyamatban lévő zsarolókampányban az adathalász támadások során a GitHub biztonsági és toborzási részlegeit veszik célba, hogy rosszindulatú OAuth szolgáltatással megosszák a tárhelyeket, majd töröljék a feltört adattárakat.
Körülbelül február óta fejlesztők tucatjai kaptak egymáshoz hasonló, hamis állásajánlatokat, vagy biztonsági figyelmeztetést e-mailben a „notifications@github[.]com” címről. Véletlenszerűen megjelölték őket adattárakkal kapcsolatos problémáknál, illetve feltört GitHub fiókokból spameken keresztül pull kérelmekhez kapcsolták őket.
Az adathalász e-mailek a potenciális áldozatokat a githubcareers[.]online vagy a githubtalentcommunity[.]online oldalra irányítják át, melyeken a felhasználókat arra kérik, hogy jelentkezzenek be GitHub fiókjukba és engedélyezzenek egy új OAuth protokollt, amely hozzáférést kér többek között privát tárhelyekhez, személyes felhasználói adatokhoz, valamint adatbázisok törléséhez.
A támadók miután hozzáférnek az áldozatok adattáraihoz, törlik a tartalmukat, átnevezik és hozzáadnak egy README[.]me fájlt, amely arra utasítja az áldozatokat, hogy a Telegramon lépjenek kapcsolatba a hackerekkel annak érdekében, hogy helyre tudják állítani a törlésre került adatokat.
A támadók azt állítják, hogy mielőtt törlésre került az áldozatok adattárainak tartalma készítettek biztonsági másolatot róla.
A GitHub munkatársai jelenleg azon dolgoznak, hogy kezeljék ezeket a kéretlen adathalász értesítéseket. Emellett azt tanácsolják a felhasználóknak, hogy tegyék meg a következő intézkedéseket annak érdekében, hogy fiókjaikat ne tudják feltörni az ilyen támadásokban:
- Ne kattintsunk rá a hivatkozásra és ne válaszoljunk ezekre az értesítésekre. Mindig jelentsük őket.
- Soha ne engedélyezzünk ismeretlen OAuth szolgáltatást, mert elérhetővé teheti GitHub fiókunkat és adatainkat egy harmadik fél számára.
- Rendszeresen ellenőrizzük az engedélyezett OAuth szabványt.
