Gitlocker-Phishing-Angriffe
In der sich entwickelnden Landschaft der Cybersicherheitsbedrohungen ist eine neue Gitlocker-Angriffskampagne aufgetaucht, die auf GitHub-Repositories abzielt. Bei dieser Operation kompromittieren böswillige Akteure Konten, löschen Repository-Inhalte und fordern die Opfer auf, sie per Telegram zu kontaktieren, um weitere Anweisungen zu erhalten. Dieser Artikel befasst sich mit den Einzelheiten dieser Kampagne, ihrer Vorgehensweise und den empfohlenen Sicherheitsmaßnahmen zum Schutz vor solchen Angriffen.
Inhaltsverzeichnis
Angriffsmodus Operadi
Angreifer der Gitlocker-Kampagne zielen speziell auf GitHub-Repositories ab. Sobald sie Zugriff auf ein Repository erhalten, löschen sie dessen Inhalt. Anschließend benennen die Angreifer das Repository um und hinterlassen eine README.me-Datei mit einer Lösegeldforderung, in der die Opfer aufgefordert werden, sie über Telegram zu kontaktieren.
Gestohlene Anmeldeinformationen
Der Bedrohungsakteur hinter dieser Kampagne, der auf Telegram unter dem Namen Gitloker operiert, scheint sich mit gestohlenen Anmeldeinformationen Zugang zu GitHub-Konten zu verschaffen. Er gibt sich als Cyber-Vorfallanalyst aus, behauptet, die kompromittierten Daten gesichert zu haben und bietet an, bei der Wiederherstellung zu helfen. Der vollständige Text des Lösegeldbriefs lautet:
„Ich hoffe, es geht Ihnen gut. Dies ist eine dringende Mitteilung, um Sie darüber zu informieren, dass Ihre Daten kompromittiert wurden und wir ein Backup erstellt haben.“
Reaktion und Empfehlungen
Nach früheren Angriffen hat GitHub den Benutzern geraten, ihre Passwörter zu ändern, um ihre Konten vor unbefugtem Zugriff zu schützen. Diese Maßnahme ist entscheidend, um böswillige Aktivitäten wie das Hinzufügen neuer SSH-Schlüssel, die Autorisierung neuer Apps oder die Änderung von Teammitgliedern zu verhindern.
Verbesserte Sicherheitsmaßnahmen
Um weitere Kompromittierungen zu verhindern und verdächtige Aktivitäten zu erkennen, wird Benutzern empfohlen, die folgenden Sicherheitsmaßnahmen zu implementieren:
- Zwei-Faktor-Authentifizierung (2FA) aktivieren : Fügen Sie dem Anmeldevorgang eine zusätzliche Sicherheitsebene hinzu.
- Fügen Sie einen Passkey hinzu : Für eine sichere, passwortlose Anmeldung.
- Überprüfen und Widerrufen unbefugter Zugriffe : Überprüfen und verwalten Sie regelmäßig SSH-Schlüssel, Bereitstellungsschlüssel und autorisierte Integrationen.
- E-Mail-Adressen überprüfen : Stellen Sie sicher, dass alle zugehörigen E-Mail-Adressen korrekt und sicher sind.
- Überprüfen Sie die Kontosicherheitsprotokolle : Verfolgen Sie Repository-Änderungen, um nicht autorisierte Änderungen zu identifizieren.
- Webhooks verwalten : Überprüfen und verwalten Sie regelmäßig Webhooks in Repositories.
Historischer Kontext der GitHub-Kompromisse
Der Gitlocker-Angriff ist kein Einzelfall. GitHub-Konten wurden schon früher gezielt angegriffen und kompromittiert, was zu erheblichen Datenlecks führte.
Microsoft-Datendiebstahl im März 2020 : Hacker haben sich Zugriff auf das Microsoft-Konto verschafft und über 500 GB an Dateien aus privaten Repositories gestohlen. Während die gestohlenen Daten hauptsächlich aus Codebeispielen und Testprojekten bestanden, gab es Bedenken hinsichtlich der Offenlegung privater API-Schlüssel und Passwörter. Der Bedrohungsakteur ShinyHunters hat die Daten schließlich kostenlos weitergegeben, nachdem er ursprünglich geplant hatte, sie zu verkaufen.
Phishing-Kampagne im September 2020 : GitHub-Benutzer wurden Ziel einer Phishing-Kampagne mit gefälschten CircleCI-Benachrichtigungen. Angreifer wollten GitHub-Anmeldeinformationen und 2FA-Codes über Reverse-Proxys stehlen. Nachdem sie Konten kompromittiert hatten, exfiltrierten sie Daten und fügten neue Benutzerkonten hinzu, um dauerhaften Zugriff aufrechtzuerhalten.
Abschluss
Der Gitlocker-Phishing-Angriff unterstreicht die anhaltende Bedrohung für Online-Repositories und die Bedeutung robuster Sicherheitspraktiken. Durch die Umsetzung empfohlener Sicherheitsmaßnahmen und Wachsamkeit können Benutzer ihre GitHub-Konten besser vor unbefugtem Zugriff und potenziellem Datenverlust schützen. Da sich Cyberbedrohungen ständig weiterentwickeln, ist die Aufrechterhaltung eines proaktiven Sicherheitsansatzes für den Schutz wertvoller digitaler Assets unerlässlich.