Злоумышленники используют OAuth-приложение и поддельные уведомления Security Alert для взлома учётных записей на GitHub

Как сообщает Bleeping Computer, жертвы получают уведомления о «подозрительной попытке входа» с IP-адреса 53.253.117.8, зарегистрированного в Рейкьявике, Исландия. Уведомления предупреждают о необходимости срочной смены пароля, предлагают проверить активные сессии и включить двухфакторную аутентификацию. Однако все ссылки в этих сообщениях ведут на страницу авторизации приложения gitsecurityapp, которое запрашивает множество рискованных разрешений.

Среди них, в частности, полный доступ к публичным и частным репозиториям, управление пользователями, чтение и изменение обсуждений, взаимодействие с организациями, удаление репозиториев и право на изменение GitHub Actions, которое позволяет злоумышленникам внедрять вредоносный код в рабочие процессы пользователей.

Если пользователь авторизуется в приложении, оно сгенерирует OAuth-токен и отправляет жертву на удалённый сервер, предоставляя хакерам контроль над скомпрометированной учётной записью.

Атака началась 16 марта и до сих пор продолжается. Однако, как подчёркивает издание, число заражённых репозиториев постоянно меняется, что свидетельствует об оперативной реакции со стороны GitHub.

Разработчикам, которые могли авторизоваться в приложении и предоставить ему запрашиваемые права, рекомендуется немедленно аннулировать его разрешения через настройки GitHub в разделе «Приложения». Также следует проверить активность в репозиториях, удалить подозрительные GitHub Actions и убедиться в отсутствии новых приватных gist-файлов. В качестве дополнительной меры безопасности рекомендуется сменить пароли и обновить все токены авторизации.