Les cybercriminels se font passer pour (s’ouvre dans un nouvel onglet) CircleCI pour essayer de voler des comptes GitHub, ont confirmé les deux sociétés.
Selon les deux firmes, des malfaiteurs diffusent actuellement un e-mail de phishing, dans lequel ils se font passer pour la plateforme d’intégration et de livraison continues, CircleCI.
L’e-mail est envoyé aux utilisateurs de GitHub et les avertit que les conditions d’utilisation et la politique de confidentialité de CircleCI ont changé et qu’ils doivent se connecter à leurs comptes GitHub pour accepter les nouvelles conditions.
Avertissement GitHub
Comme vous vous en doutez, il y a un lien au bas de l’e-mail sur lequel les destinataires peuvent cliquer pour « accepter » les modifications. Ceux qui le font risquent de se faire voler les informations d’identification de leur compte GitHub, ainsi que les codes d’authentification à deux facteurs (2FA), car les attaquants relaient ces informations via des proxys inverses. Selon BipOrdinateurles utilisateurs disposant de clés de sécurité matérielles ne sont pas vulnérables.
« Bien que GitHub lui-même n’ait pas été affecté, la campagne a eu un impact sur de nombreuses organisations de victimes », a déclaré GitHub dans son avertissement.
Plusieurs domaines d’attaque
CircleCI a également publié une annonce sur ses forums, avertissant les utilisateurs de l’attaque en cours et réitérant que la société ne demandera jamais aux utilisateurs de saisir des informations d’identification pour afficher les modifications du ToS.
« Tous les e-mails de CircleCI ne doivent inclure que des liens vers circleci.com ou ses sous-domaines », a souligné la société.
Jusqu’à présent, plusieurs domaines distribuant l’e-mail de phishing ont été confirmés :
- cercle-ci[.]com
- emails-circleci[.]com
- cercle-cl[.]com
- email-circleci[.]com
Les attaquants sont après le développeur GitHub (s’ouvre dans un nouvel onglet) comptes, et s’ils parviennent à en accéder à un, la prochaine chose qu’ils feront est de créer des jetons d’accès personnels (PAT), d’autoriser les applications OAuth et même d’ajouter des clés SSH au compte, pour s’assurer qu’ils conservent l’accès même après le les propriétaires changent le mot de passe.
Après cela, a ajouté GitHub, ils prendront des données à partir de référentiels privés. La société a depuis bloqué un certain nombre de comptes, dont la compromission a été confirmée. Tous les utilisateurs potentiellement concernés ont vu leur mot de passe de compte réinitialisé.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)