Tài khoản GitHub của bạn có thể bị nhắm tới bởi chiến dịch phishing cảnh báo bảo mật giả mạo
Vũ Nhật Lâm
Gần đây có một chiến dịch phishing bằng các cảnh báo bảo mật giả mạo đang nhắm tới khoảng 12.000 người sử dụng GitHub, một dịch vụ quản lý, lưu trữ và chia sẻ source code. Nếu người dùng không cẩn thận làm theo có thể khiến cho các kẻ tấn công có toàn bộ quyền truy cập vào tài khoản và kho lưu trữ trên GitHub.
Cách thức tấn công
Theo một chia sẻ của tài khoản Luc4m trên X, một nhà nghiên cứu an ninh mạng, ban đầu một cảnh báo bảo mật giả mạo với tiêu đề “Security Alert: Unusual Access Attempt“ được tạo trong Issues của repository. Trong cảnh báo giả mạo được gửi tới người dùng thông báo rằng có hành vi đăng nhập bất thường ở Reykjavik, Iceland và địa chỉ IP là 53.253.117.8. Cảnh báo giả mạo này được tạo giống hệt với mẫu cảnh báo gốc của GitHub, trong nội dung cảnh báo có hướng dẫn xử lý vấn đề và đường dẫn tới các khuyến nghị đó:
Cập nhật mật khẩu
Kiểm tra các hoạt động gần đây
Bật tính năng xác thực đa yếu tố
Tuy nhiên các đường dẫn này đều hướng tới một trang yêu cầu cấp quyền của GitHub cho một ứng dụng OAuth tên là gitsecurityapp, cho phép rất nhiều quyền nguy hiểm khiến cho kẻ tấn công có đầy đủ quyền truy cập vào tài khoản và kho lưu trữ.
repo: Cho phép đầy đủ quyền truy cập vào kho lưu trữ công khai và riêng tư
user: Cho phép đoc và viết vào hồ sơ người dùng
read:org: Cho phép đọc thành viên trong tổ chức, nhóm và các dự án
read:discussion, write:disscussion: Cho phép quyền đọc và viết vào các thảo luận
gist: Cho phép quyền truy cập vào GitHub gist
delete_repo: Cho phép quyền xóa kho lưu trữ
workflows, workflow, write:workflow, read:workflow, update:workflow: kiểm soát quy trình làm việc của GitHub Actions
Nếu người dùng GitHub đăng nhập và cấp quyền cho ứng dụng OAuth gitsecurityapp, một access token sẽ được tạo và gửi cho kẻ tấn công được host trên onrender.com.
Chiến dịch phishing này được bắt đầu từ ngày 16/03 cho tới nay với khoảng 12.000 người đang bị nhắm đến. Chỉ trong vài phút đã có tới gần 4.000 lần cố găng thực hiện phishing.
Ảnh hưởng
Nếu người dùng cấp quyền, kẻ tấn công có thể:
Đọc và chỉnh sửa repository, source code, issue và pull request
Đánh cắp các thông tin nhạy cảm như tài sản trí tuệ, thuật toán, API key, thông tin đăng nhập và các tài liệu riêng tư, nội bộ…
Chèn mã độc, tạo lỗ hổng, backdoor vào trong source code
Thực hiện các chiến dịch tấn công khác như phát tán mã độc, gửi tin nhắn phishing…
Ngoài ra khi người dùng có thực hiện các biện pháp đổi mật khẩu mạnh cũng không thu hồi được token của OAuth khiến cho kẻ tấn công vẫn duy trì đăng nhập.
Khuyến nghị
Không giống với các phương thức phishing truyền thống khác, cuộc tấn công này không yêu cầu thông tin đăng nhập, khiến cho việc phát hiện rất khó khăn. Nhiều người dùng không để ý đã thực hiện cấp quyền cho các ứng dụng bên thứ ba. Chính vì vậy, người dùng cần phải:
Xác minh các cảnh báo an toàn thông tin. GitHub không bao giờ gửi cảnh báo trong Issues của repository, chỉ xuất hiện trên tab Security hoặc từ email @github.com
Nếu nhận được thông báo bảo mật thì vào cài đặt tài khoản GitHub trực tiếp thay vì nhấn vào đường link
Luôn kiểm tra các quyền được yêu cầu bởi bên thứ ba, không có phép vượt quyền, đặc biệt là quyền chỉnh sửa
Vào phần Settings -> Applications -> Authorized OAuth Apps để kiểm tra các ứng dụng được kết nối, đồng thời thu hồi quyền truy cập với các ứng dụng khả nghi
Tham khảo
Subscribe to my newsletter
Read articles from Vũ Nhật Lâm directly inside your inbox. Subscribe to the newsletter, and don't miss out.
Written by