Cẩn trọng hành vi giả mạo thông báo CircleCI nhằm hack tài khoản GitHub

www.tuoitre.vn -   23/09/2022 12:00:00 164

GitHub đang phát ra cảnh báo về một chiến dịch lừa đảo bắt đầu vào ngày 16/9 và đang tiếp tục diễn ra. Trong đó, hacker nhắm vào người dùng GitHub bằng các email giả mạo nền tảng phân phối và tích hợp liên tục CircleCI.

Cẩn trọng hành vi giả mạo thông báo CircleCI nhằm hack tài khoản GitHub

Trong email giả mạo, hacker thông báo với người dùng rằng các điều khoản người dùng và chính sách quyền riêng tư đã được thay đổi. Vì thế, để tiếp tục sử dụng dịch vụ chúng yêu cầu người dùng cần phải đăng nhập vào tài khoản GitHub để chấp nhận các sửa đổi.

Mục tiêu của hacker là đánh cắp thông tin đăng nhập tài khoản GitHub và mã xác thực 2 yếu tố (2FA) bằng cách chuyển tiếp chúng qua proxy đảo ngược.

Các tài khoản được bảo vệ bằng khóa mã khóa cứng cho xác thực đa yếu tối (MFA) không bị ảnh hưởng bởi kiểu tấn công này.

"Chiến dịch này ảnh hưởng đến nhiều tổ chức và cá nhân nhưng không ảnh hưởng gì tới bản thân GitHub", văn bản khuyến nghị bảo mật của GitHub cho biết.

CircleCI cũng đã phải đăng một thông báo trên các diễn đàn của công ty để nâng cao nhận thức về chiến dịch lừa đảo. Hãng này cũng cam kết rằng họ không bao giờ yêu cầu người dùng nhập thông tin đăng nhập để xem các thay đổi trong điều khoản dịch vụ của mình.

"Mọi email từ CircleCI sẽ chỉ bao gồm các liên kết đến từ CircleCI.com hoặc các tên miền phụ của nó", CircleCI nhấn mạnh.

Nếu bạn nghĩ rằng bạn hoặc ai đó trong team đã nhấp và link giả mạo trong email, hãy ngay lập tức đổi tất cả thông tin đăng nhập của bạn trên cả GitHub và CircleCI. Đồng thời, bạn cần phải kiểm tra xem hệ thống của mình có bất kỳ hoạt động nào bất thường hay không.

Các tên miền lừa đảo trong email cũng cố gắng bắt chước tên miền chính thức của CircleCI. Cho tới nay, các chuyên gia đã xác nhận được những tên miền sau là lừa đảo:

circle-ci[.]com

emails-circleci[.]com

circle-cl[.]com

email-circleci[.]com

Sau khi lấy được thông tin đăng nhập hợp lệ, hacker tạo token truy cập cá nhân (PAT), ủy quyền cho ứng dụng OAuth và đôi khi thêm khóa SSH để tài khoản vẫn duy trì đăng nhập ngay cả khi đặt lại mật khẩu.

GitHub báo cáo rằng nội dung trong các repo riêng tư bị trích xuất gần như ngay lập tức sau khi tài khoản bị lộ. Hacker sử dụng VPN hoặc proxy nên việc truy vết chúng sẽ trở nên khó khăn hơn.

Nếu tài khoản bị xâm nhập có quyền quản lý tổ chức thì hacker còn tạo thêm tài khoản người dùng và thêm chúng vào tổ chức để duy trì sự hiện diện.

GitHub đã tạm dừng các tài khoản có dấu hiệu bị xâm nhập. Nền tảng này cũng đã reset lại mật khẩu cho những người bị ảnh hưởng, những người này sẽ nhận được thông báo cá nhân hóa về sự cố.

Nếu bạn chưa nhận được thông báo của GitHub nhưng có đủ cơ sở để tin rằng mình là nạn nhân của chiến dịch lừa đảo, bạn cần đặt lại mật khẩu tài khoản và mã khôi phục 2FA, xem lại PAT của mình và nếu có thể hãy sử dụng khóa cứng MFA.

Ngoài ra, GitHub còn liệt kê ra những kiểm tra bảo mật mà bạn nên đánh giá thường xuyên để đảm bảo rằng hacker không lén lút xâm nhập tài khoản của bạn.

 

TIN CÙNG CHUYÊN MỤC

Phát hiện Dell, HP, Lenovo đang dùng các...

30/11/2022 08:00:00 72
Một phân tích về hình ảnh chương trình cơ sở trên các thiết bị của Dell, HP và Lenovo đã tiết lộ sự ...

Cập nhật ngay trình duyệt Chrome để vá l...

30/11/2022 08:00:00 80
Google hôm thứ Năm đã phát hành bản cập nhật phần mềm để giải quyết một lỗ hổng zero-day khác trong ...

Chế độ ẩn danh mới trên trình duyệt Chro...

30/11/2022 12:00:00 43
Không rõ tính năng này bắt đầu ra mắt khi nào nhưng Google chỉ kích hoạt săn nó theo mặc định cho mộ...

Hơn 300,000 thông tin Facebook bị hack q...

30/11/2022 12:00:00 38
Các ứng dụng lan truyền mã độc này được thiết kế núp bóng dưới dạng phần mềm đọc sách điện tử, với v...

Hàng triệu thiết bị Android vẫn chưa có ...

29/11/2022 08:00:00 90
Một bộ năm lỗ hổng bảo mật mức độ nghiêm trọng trung bình trong trình điều khiển GPU Mali của Arm đã...

Hàng loạt điện thoại Android dính mã độc...

29/11/2022 12:00:00 20
Đã có ít nhất 750 máy nhiễm mã độc nhưng do website chưa bị vô hiệu hóa và World Cup 2022 mới đi đượ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ