mer. Sep 28th, 2022

Les pirates utilisent des e-mails trompeurs au nom de CircleCI pour prendre le contrôle des comptes GitHub. Même 2FA ne protège pas contre l’attaque.

À l’aide de faux e-mails de la plate-forme d’intégration continue CircleCI et d’une page de connexion frauduleuse, les pirates collectent les informations d’identification de nombreux utilisateurs de GitHub. Les attaquants ciblent des référentiels privés. GitHub a déjà pris des mesures de sécurité et notifié les utilisateurs concernés.

Les e-mails supposés de CircleCI attirent les utilisateurs de GitHub vers le site de phishing

Le service de sécurité de la plate-forme de contrôle des sources GitHub a partagé une alerte citant une campagne de phishing en cours par laquelle des attaquants tentent de voler les informations d’identification des utilisateurs de la plate-forme.

Les pirates utilisent de faux e-mails prétendant provenir de CircleCI, une plate-forme d’intégration continue populaire. Sous prétexte que les conditions d’utilisation et les politiques de confidentialité ont changé, ils encouragent les victimes à se connecter à un site Web trompeur en utilisant leur compte GitHub. Les utilisateurs doivent accepter les modifications, sinon ils ne pourront plus utiliser le service.

Dans un communiqué, CircleCI note que la société n’oblige pas ses utilisateurs à « que vous vous connectez pour vérifier les mises à jour de nos conditions d’utilisation.» De plus, les tentatives de phishing contiennent des liens pointant vers divers domaines n’appartenant pas à l’entreprise. Seuls les liens vers « cercleci.com” ou ses sous-domaines sont sûrs.

Selon le rapport GitHub Security, les domaines suivants ont été utilisés jusqu’à présent :

  • cercle-ci[.]com
  • emails-circleci[.]com
  • cercle-cl[.]com
  • email-circleci[.]com
Voir aussi  Attaque Tesla-Relay : Model Y déverrouillé et démarré en quelques secondes

Les attaquants téléchargent des référentiels privés après la connexion

GitHub a partagé qu’il n’était pas directement affecté lui-même. Cependant, la campagne a déjà eu un impact sur de nombreuses organisations de victimes. En conséquence, les utilisateurs qui cliquent sur le lien dans l’e-mail atterrissent sur une fausse page de connexion qui ressemble à la vraie chose de GitHub. Mais toute personne qui s’y connecte donne ses données de connexion aux attaquants. Le site de phishing transmet même les codes TOTP de l’authentification active à deux facteurs (2FA) à leurs créateurs en temps réel. En conséquence, ils peuvent prendre le contrôle total du compte utilisateur. Seule la protection par clé de sécurité matérielle n’est pas sensible à cette attaque.

Enfin, une fois qu’un attaquant a accès au compte de sa victime, « il peut rapidement créer des jetons d’accès GitHub personnels (PAT), autoriser des applications OAuth ou ajouter des clés SSH au compte pour y accéder au cas où l’utilisateur changerait son mot de passe.Dans de nombreux cas, le téléchargement de tout le contenu du référentiel privé via un VPN ou un fournisseur de proxy est la prochaine étape pour les pirates. « Y compris ceux détenus par les comptes de l’organisation et les autres employés.« 

En 2020, le groupe de hackers Shiny Hunters nous a montré les proportions explosives que peut prendre une telle attaque. À l’époque, ils étaient capables de capturer 500 Go de données à partir des référentiels privés de Microsoft. Ainsi que de nombreux trésors de données de dix autres entreprises.

Voir aussi  Plex piraté - e-mails et mots de passe affectés

GitHub a déjà pris des mesures, et les utilisateurs devraient faire de même

Enfin, GitHub a bloqué certains comptes d’utilisateurs liés aux cas de fraude. La plateforme a également réinitialisé les mots de passe de certains utilisateurs et les a informés de l’incident afin d’assurer la sécurité des comptes concernés.

Si vous n’avez pas reçu de notification de GitHub et que vous pensez toujours être victime de la campagne de phishing, il est fortement conseillé de changer votre mot de passe, de réinitialiser vos codes de récupération 2FA et de vérifier vos jetons d’accès personnels. La société recommande également d’utiliser une clé de sécurité matérielle pour se protéger contre de futures attaques de ce type.