ما اخیراً در مورد اینکه چطور مهاجمین یاد گرفتهاند از زیرساخت رسانههای اجتماعی قانونی برای تحویل هشدارهای به ظاهر معقول در مورد مسدود کردن اکانتهای تجاری (که در نهایت به سرقت پسورد منجر میشود) استفاده کنند مقاله نوشتهایم. چند ماه شده که روش بسیار مشابهی به حملات مهاجمان به بسیاری از حساب های کاربری دارد برای اکانتهای توسعهدهنده روی گیتهاب نیز استفاده میشو که همین دلیلی شد برای نگرانی تیمهای امنیت اطلاعاتی سازمانی خصوصاً اگر توسعهدهندگان دسترسی ادمین به ذخایر و منابع مرتبط با شرکت را در GitHub داشته باشند.
چگونگی حمله هکرها به برنامه نویسان:
قربانیان این حمله از آدرس ایمیل واقعی گیتهاب ایمیلهایی دریافت میکنند. این ایمیلها ادعا دارند تیم گیتهاب دنبال توسعهدهنده مجرب است و شرایط ویژهای را هم برای او در نظر گرفته، مثلا 180 هزار دلار در سال به اضافه مزایایی سخاوتمندانه. گیرنده نامه در صورت تمایل به این موقعیت شغلی دعوت میشود به اپلای کردن آن هم با کلیک بر روی یک لینک. این ایمیلها از notifications@github.com میآیند که واقعاً متعلق به این سرویس است. با این همه گیرنده هشیار ممکن است شک کنند چرا تیم منابع انسانی برای پیشنهاد کاری دارد از آدرس نوتیف استفاده میکند و سرویس ایمیل خود را به کار نمی گیرد. همچنین اینکه موضوع ایمیل ربطی به پیشنهاد شغلی ندارد و در عوض با فهرستی از چندین نام کاربری گیتهابی پایان مییابد شکبرانگیز است. با این حال نویسندگان ایمیل آن را به صورت انبوه میفرستند بیآنکه این وسط نگران از دست دادن چندتایی کاربر هشیار باشند!
مهاجمین با همان تعداد محدود کاربران که مبلغ دستمزد سرمستشان کرده کارشان انجام شده و به هدف خود میرسند. با کلیک بر روی لینک در ایمیل، گیرنده به صفحهای میرود که وانمود میکند سایت حرفهای GitHub است. در حالی که، آدرسهای githubtalentcommunity.online و githubcareers.online در این کمپین استفاده شده است، البته این سایتهای فیشینگ دیگر در دسترس نیستند. در سایت، از توسعه دهندگان علاقهمند به این موقعیت خواسته می شود که به حساب GitHub خود وارد شوند و یک برنامه OAuth جدید را مجوز دهند. این برنامه مجوزهای متعددی را درخواست می کند، از جمله دسترسی به مخازن خصوصی، داده های شخصی و بحثها، و همچنین امکان حذف هر مخزن مدیریت شده توسط کاربر مورد نظر. علاوه بر پیشنهادات شغلی، نوع دیگری از ایمیل مشاهده شده است که ادعا میکند گیت هاب هک شده و تیم امنیتی گیتهاب برای از بین بردن عواقب هک به مجوز کاربر نیاز دارد.
و در نهایت ضربه فنی شدن برنامه نویسان!
اگر توسعهدهنده و برنامه نویس فریب خورده همه مجوزهای درخواستی از سوی اپلیکیشن آلوده OAauth را بدهد، مهاجمین شروع میکنند به اکسپلویت آنها. آنها ذخایر و منابع قربانی را خالی کرده نامگذاری مجددشان میکند و در نهایت یک فایل README.me از خود به جای میگذارند. فایل حاوی پیامی است مبنی بر اینکه دادهها در معرض خطر قرار گرفته اند، اما یک نسخه پشتیبان تهیه شده است. برای بازیابی اطلاعات، به قربانی دستور داده می شود تا با کاربری به نام Gitloker در تلگرام تماس بگیرد. به نظر می رسد که این ایمیلها با استفاده از سیستم بحث گیتهابی ارسال میشوند. به این معنا که مهاجمین از حسابهای در معرض خطر استفاده میکنند تا پیامهایی با متن ایمیل تحت موضوعات مختلف ایجاد و چندین کاربر را برچسبگذاری کنند. در نتیجه، همه کاربران برچسبگذاری شده ایمیلهایی را از آدرس notifications@github.com دریافت میکنند. این پیام ها احتمالا بلافاصله پس از ارسال حذف میشوند.
چگونه از حمله هکرها جلو گیری کنیم؟
کاربران هشیار و توسعهدهندگان با تجربه اغلب خود را در برابر حملات فیشینگ مصون میدانند. با این حال، همینطور که پیداست آنها نیز میتوانند غافلگیر شوند. اپراتورهای این کمپین فیشینگ قبلاً موفق شدهاند ده ها مخزن را به خطر انداخته و پاک کنند. برای اینکه توسعهدهندگان خود قربانی این حمله نشوند، موارد زیر را به آنها توصیه میکنیم:
همیشه تمام جزئیات ایمیل را به دقت بررسی و موضوع، متن و آدرس فرستنده آن را با هم مقایسه کنید. هر گونه اختلاف تقریباً به طور قطع نشانه تلاش فیشینگ به جای خطاهای تصادفی است.
اگر ایمیل مشابهی از گیتهاب دریافت کردید، روی هیچ لینکی در آن کلیک نکنید و ایمیل را مسدود کنید.
فهرست برنامه های OAuth مجاز را در حساب گیتهاب خود به صورت دورهای مرور کنید و هر مورد مشکوک را حذف کنید.
هرگز برنامه های ناشناخته OAuth را مجاز نکنید، مقالهای که خواندید نشان میدهد که عواقب آن چقدر میتواند جدی باشد.
به شرکتها توصیه میکنیم آموزش منظم امنیت اطلاعات را برای کارکنان، از جمله توسعهدهندگان، برگزار کنید. تجربه با سیستم های IT ایمنی را تضمین نمیکند. مهارتهای لازم باید به طور خاص توسعه یابد. برای مثال، میتوانید از پلتفرم آموزشی تعاملی ما، پلتفرم آگاهی امنیتی خودکار کسپرسکی استفاده کنید