GitHub – kho lưu trữ phần mềm nguồn mở lớn nhất thế giới, hiện đang trở thành mục tiêu của một chiến dịch tấn công lừa đảo (phishing attack) được thiết kế đặc biệt để thu thập và đánh cắp thông tin đăng nhập của các thành viên thông qua những website giả mạo bắt chước trang đăng nhập của GitHub.
Bên cạnh việc chiếm đoạt tài khoản của người dùng Github, những kẻ tấn công cũng sẽ ngay lập tức download toàn bộ nội dung các private repositories của nạn nhân, bao gồm nhưng không giới hạn ở “những tài sản thuộc sở hữu của tài khoản tổ chức và các cộng tác viên khác”.
“Nếu những kẻ tấn công đánh cắp thành công thông tin đăng nhập tài khoản của người dùng GitHub, chúng có thể nhanh chóng tạo mã thông báo truy cập cá nhân GitHub hoặc ủy quyền cho các ứng dụng OAuth trên tài khoản để duy trì quyền truy cập trong trường hợp nạn nhân thay đổi mật khẩu”, đại diện đội ngũ ứng phó sự cố an ninh của GitHub (SIRT) cho biết trong 1 cảnh báo.
GitHub đang bị tấn công phishing mạnh, người dùng chú ý bảo mật
Tấn công lừa đảo nhắm vào các tài khoản GitHub đang hoạt động
Thông qua email lừa đảo, hacker sử dụng nhiều loại “mồi nhử” khác nhau nhằm lừa mục tiêu nhấp vào liên kết độc hại đính kèm. Trong trường hợp người dùng GitHub bị lừa và nhấp vào liên kết để kiểm tra hoạt động tài khoản của mình, họ sẽ được chuyển hướng đến trang đăng nhập GitHub giả mạo, được thiết kế giống thật tới 99%. Nếu nạn nhân không nhận ra và nhập thông tin đăng nhập như bình thường, toàn bộ thông tin đăng nhập tài khoản của họ sẽ bị lưu lại và gửi đến các máy chủ do kẻ tấn công kiểm soát.
Bên cạnh đó, trang đích lừa đảo cũng sẽ lọc mã 2FA của nạn nhân trong thời gian thực nếu họ đang sử dụng ứng dụng di động với thuật toán mật khẩu một lần dựa trên thời gian (TOTP). Cơ chế nguy hiểm này cho phép kẻ tấn công dễ dàng xâm nhập vào tài khoản được bảo vệ bằng phương thức xác thực hai yếu tố dựa trên TOTP.
“Tuy nhiên, các tài khoản được bảo vệ bởi khóa bảo mật phần cứng (hardware security key) sẽ gần như không bị ảnh hưởng bởi phương thức tấn công này”, SIRT cho biết.
Chiến dịch lừa đảo đang diễn ra này nhắm mục tiêu chủ yếu đến người dùng GitHub hiện đang hoạt động cho các công ty công nghệ tại nhiều quốc gia khác nhau, sử dụng địa chỉ email thu được từ các cam kết công khai.
Đặc biệt, email lừa đảo được gửi từ các tên miền hợp pháp, sử dụng các máy chủ email bị xâm nhập trước đó hoặc với sự trợ giúp của thông tin API bị đánh cắp của các nhà cung cấp dịch vụ email hàng loạt hợp pháp.
Ngoài ra, những kẻ tấn công đứng sau chiến dịch này cũng sử dụng các dịch vụ rút ngắn URL được thiết kế để ẩn URL của trang đích, đồng thời kết hợp xâu chuỗi nhiều dịch vụ rút ngắn URL nhằm tăng cường khả năng che giấu. Bên cạnh đó, để khiến liên kết độc hại đính kèm trong email khó bị nhận diện hơn, chúng cũng sử dụng các chuyển hướng dựa trên PHP trên những website bị xâm nhập.
Khuyến nghị bảo mật từ GitHub
Khuyến nghị được đội ngũ SIRT đưa ra cho người dùng Github như sau:
Đặt lại mật khẩu tài khoản ngay lập tức.
Đặt lại mã phục hồi hai yếu tố của tài khoản ngay lập tức.
Xem lại mã thông báo truy cập cá nhân.
Thực hiện các bước bổ sung để kiểm soát và bảo mật tài khoản tốt hơn.
Xem xét sử dụng khóa bảo mật phần cứng và sử dụng trình quản lý mật khẩu tích hợp với trình duyệt.
