ما اخیراً در مورد اینکه چطور مهاجمین یاد گرفته‌اند از زیرساخت رسانه‌های اجتماعی قانونی برای تحویل هشدارهای به ظاهر معقول در مورد مسدود کردن اکانت‌های تجاری (که در نهایت به سرقت پسورد منجر می‌شود) استفاده کنند مقاله نوشته‌ایم. چند ماه شده که روش بسیار مشابهی به حملات مهاجمان به بسیاری از حساب های کاربری دارد برای اکانت‌های توسعه‌دهنده روی گیت‌هاب نیز استفاده می‌شو که همین دلیلی شد برای نگرانی تیم‌های امنیت اطلاعاتی سازمانی خصوصاً اگر توسعه‌دهندگان دسترسی ادمین به ذخایر و منابع مرتبط با شرکت را در GitHub داشته باشند.

چگونگی حمله هکرها به برنامه نویسان:

قربانیان این حمله از آدرس ایمیل واقعی گیت‌هاب ایمیل‌هایی دریافت می‌کنند. این ایمیل‌ها ادعا دارند تیم گیت‌هاب دنبال توسعه‌دهنده مجرب است و شرایط ویژه‌ای را هم برای او در نظر گرفته، مثلا 180 هزار دلار در سال به اضافه مزایایی سخاوتمندانه. گیرنده نامه در صورت تمایل به این موقعیت شغلی دعوت می‌شود به اپلای کردن آن هم با کلیک بر روی یک لینک. این ایمیل‌ها از notifications@github.com می‌آیند که واقعاً متعلق به این سرویس است. با این همه گیرنده هشیار ممکن است شک کنند چرا تیم منابع انسانی برای پیشنهاد کاری دارد از آدرس نوتیف استفاده می‌کند و سرویس ایمیل خود را به کار نمی گیرد. همچنین اینکه موضوع ایمیل ربطی به پیشنهاد شغلی ندارد و در عوض با فهرستی از چندین نام کاربری گیت‌هابی پایان می‌یابد شک‌برانگیز است. با این حال نویسندگان ایمیل آن را به صورت انبوه می‌فرستند بی‌آنکه این وسط نگران از دست دادن چندتایی کاربر هشیار باشند!

مهاجمین با همان تعداد محدود کاربران که مبلغ دستمزد سرمستشان کرده کارشان انجام شده و به هدف خود می‌رسند. با کلیک بر روی لینک در ایمیل، گیرنده به صفحه‌ای می‌رود که وانمود می‌کند سایت حرفه‌ای GitHub است. در حالی که، آدرس‌های githubtalentcommunity.online و githubcareers.online در این کمپین استفاده شده است، البته این سایت‌های فیشینگ دیگر در دسترس نیستند. در سایت، از توسعه دهندگان علاقه‌مند به این موقعیت خواسته می شود که به حساب GitHub خود وارد شوند و یک برنامه OAuth جدید را مجوز دهند. این برنامه مجوزهای متعددی را درخواست می کند، از جمله دسترسی به مخازن خصوصی، داده های شخصی و بحث‌ها، و همچنین امکان حذف هر مخزن مدیریت شده توسط کاربر مورد نظر. علاوه بر پیشنهادات شغلی، نوع دیگری از ایمیل مشاهده شده است که ادعا می‌کند گیت هاب هک شده و تیم امنیتی گیت‌هاب برای از بین بردن عواقب هک به مجوز کاربر نیاز دارد.

و در نهایت ضربه فنی شدن برنامه نویسان!

اگر توسعه‌دهنده و برنامه نویس فریب خورده همه مجوزهای درخواستی از سوی اپلیکیشن آلوده OAauth را بدهد، مهاجمین شروع می‌کنند به اکسپلویت آن‌ها. آن‌ها ذخایر و منابع قربانی را خالی کرده نامگذاری‌ مجددشان می‌کند و در نهایت یک فایل README.me از خود به جای می‌گذارند. فایل حاوی پیامی است مبنی بر اینکه داده‌ها در معرض خطر قرار گرفته اند، اما یک نسخه پشتیبان تهیه شده است. برای بازیابی اطلاعات، به قربانی دستور داده می شود تا با کاربری به نام Gitloker در تلگرام تماس بگیرد. به نظر می رسد که این ایمیل‌ها با استفاده از سیستم بحث گیت‌هابی ارسال می‌شوند. به این معنا که مهاجمین از حساب‌های در معرض خطر استفاده می‌کنند تا پیام‌هایی با متن ایمیل تحت موضوعات مختلف ایجاد و چندین کاربر را برچسب‌گذاری کنند. در نتیجه، همه کاربران برچسب‌گذاری شده ایمیل‌هایی را از آدرس notifications@github.com دریافت می‌کنند. این پیام ها احتمالا بلافاصله پس از ارسال حذف می‌شوند.

چگونه از حمله هکرها جلو گیری کنیم؟

کاربران هشیار و توسعه‌دهندگان با تجربه اغلب خود را در برابر حملات فیشینگ مصون می‌دانند. با این حال، همینطور که پیداست آنها نیز می‌توانند غافلگیر شوند. اپراتورهای این کمپین فیشینگ قبلاً موفق شده‌اند ده ها مخزن را به خطر انداخته و پاک کنند. برای اینکه توسعه‌دهندگان خود قربانی این حمله نشوند، موارد زیر را به آن‌ها توصیه می‌کنیم:

همیشه تمام جزئیات ایمیل را به دقت بررسی و موضوع، متن و آدرس فرستنده آن را با هم مقایسه کنید. هر گونه اختلاف تقریباً به طور قطع نشانه تلاش فیشینگ به جای خطاهای تصادفی است.

اگر ایمیل مشابهی از گیت‌هاب دریافت کردید، روی هیچ لینکی در آن کلیک نکنید و ایمیل را مسدود کنید.

فهرست برنامه های OAuth مجاز را در حساب گیت‌هاب خود به صورت دوره‌ای مرور کنید و هر مورد مشکوک را حذف کنید.

هرگز برنامه های ناشناخته OAuth را مجاز نکنید، مقاله‌ای که خواندید نشان می‌دهد که عواقب آن چقدر می‌تواند جدی باشد.

به شرکت‌ها توصیه می‌کنیم آموزش منظم امنیت اطلاعات را برای کارکنان، از جمله توسعه‌دهندگان، برگزار کنید. تجربه با سیستم های IT ایمنی را تضمین نمی‌کند. مهارت‌های لازم باید به طور خاص توسعه یابد. برای مثال، می‌توانید از پلت‌فرم آموزشی تعاملی ما، پلتفرم آگاهی امنیتی خودکار کسپرسکی استفاده کنید