Gitloker abusa delle notifiche GitHub per diffondere App maligne OAuth

Recentemente, GitHub è stato bersaglio di attacchi da parte di cybercriminali che hanno sfruttato le notifiche della piattaforma per distribuire app maligne OAuth. Questi attacchi, noti come Gitloker, mirano a compromettere i repository degli sviluppatori e a estorcere denaro. Questo articolo esplora come funzionano questi attacchi, i metodi utilizzati dagli aggressori e le misure di sicurezza che gli utenti possono adottare per proteggersi.

Come Funzionano gli Attacchi Gitloker

Gli attacchi Gitloker iniziano con l’invio di email di phishing che sembrano provenire da GitHub, utilizzando indirizzi come “notifications@github.com“. Queste email possono contenere falsi avvisi di sicurezza o offerte di lavoro, e reindirizzano le vittime a siti web maligni come “githubcareers[.]online” o “githubtalentcommunity[.]online”.

Processo di Attacco

1. Email di Phishing: Gli sviluppatori ricevono email fraudolente che li invitano a fare clic su un link.
2. Landing Pages: Il link porta a una pagina web che imita GitHub, chiedendo agli utenti di accedere e autorizzare una nuova app OAuth.
3. Autorizzazione OAuth: L’app OAuth richiede accesso a repository privati, dati personali degli utenti e la capacità di eliminare repository.
4. Compromissione dei Repository: Dopo aver ottenuto l’accesso, gli aggressori svuotano i contenuti dei repository, li rinominano e inseriscono un file README con istruzioni per contattarli tramite Telegram per il recupero dei dati.

Implicazioni per gli Utenti

Molti sviluppatori che sono caduti vittima di questi attacchi hanno riportato che i loro account sono stati disabilitati e hanno perso l’accesso a tutti i loro repository. Questo accade probabilmente perché altri utenti, vedendo il comment spam, li hanno segnalati come abusivi.

Conseguenze degli Attacchi

• Perdita di Accesso ai Repository: Gli attacchi spesso portano alla disabilitazione dell’account delle vittime.
• Estorsione: Gli aggressori chiedono un riscatto per il recupero dei dati compromessi.
• Compromissione dei Dati: Gli aggressori affermano di aver copiato i dati prima di eliminarli, promettendo un backup per il ripristino.

Risposta di GitHub

GitHub è a conoscenza di questi attacchi e sta lavorando per affrontare il problema. Il team di GitHub ha risposto alle discussioni nella comunità, consigliando agli utenti di segnalare attività sospette utilizzando gli strumenti di segnalazione abusi della piattaforma.

Misure di Sicurezza Consigliate

GitHub ha fornito diverse raccomandazioni per proteggere gli account dagli attacchi Gitloker:

• Verifica delle Email: Controllare attentamente l’indirizzo email del mittente e i link inclusi nelle email.
• Autenticazione a Due Fattori (2FA): Abilitare la 2FA per aggiungere un ulteriore livello di sicurezza.
• Segnalazione di Abusi: Utilizzare gli strumenti di segnalazione abusi di GitHub per notificare attività sospette.
• Aggiornamento delle Credenziali: Cambiare le password regolarmente e non riutilizzare le stesse credenziali su più piattaforme.

Gli attacchi Gitloker rappresentano una seria minaccia per gli sviluppatori e i loro progetti ospitati su GitHub. È fondamentale che gli utenti rimangano vigili, adottino misure di sicurezza appropriate e segnalino prontamente qualsiasi attività sospetta. GitHub continua a lavorare per migliorare la sicurezza della piattaforma e proteggere i suoi utenti da tali minacce.