Derzeit haben es Betrüger auf Github-Repositories abgesehen. Auf Basis einer gefälschten Sicherheitswarnung wollen sie Konten kompromittieren. Die Drahtzieher dieser Phishing-Kampagne sollen es auf rund 12.000 Github-Projekte abgesehen haben.
Davor warnt unter anderem ein Sicherheitsforscher mit dem Pseudonym "lc4m" auf X. Um Projektinhaber aufs Glatteis zu führen, veröffentlichen die Betrüger eine Fake-Sicherheitswarnung im Issues-Reiter von Repositories. An dieser Stelle legen eigentlich Nutzer von über Github angebotene Tools Meldungen über Bugs an, damit Entwickler diese ausbessern. Solche Einträge kann in der Regel jeder mit einem Github-Account anlegen.
In der gefälschten Warnung im Namen des Github Security Teams steht, dass es "ungewöhnliche Zugriffsversuche" (Security Alert: Unusual Access Attempt) gegeben hat. Danach folgt der Hinweis, dass Betroffene zügig handeln müssen, um ihren Account abzusichern. Dafür gibt es mehrere Links, um etwa das Passwort zu ändern. Mit dem alleinigen Empfang der Fake-Sicherheitswarnung passiert erst mal nichts Schlimmes. Damit die Angreifer weiter vorankommen können, müssen Opfer mitspielen.
Die Links führen alle zu einer OAuth-App mit der Bezeichnung "gitsecurityapp". Vorsicht: Dabei handelt es sich um eine Hintertür, die Angreifern vollen Zugriff auf Github-Konten ermöglicht. Vor der Installation fordert die App umfangreiche Berechtigungen ein, unter anderem den vollen Zugriff auf Repositories und die Bearbeitung von Nutzerprofilen. Wer dem zustimmt, verliert die Kontrolle über sein Github-Konto.
Wer das bereits gemacht hat, muss, solange der Zugriff noch gegeben ist, schleunigst in die Github-Einstellungen und die Berechtigungen von gitsecurityapp widerrufen. Aus Sicherheitsgründen sollte zudem die Zugangsdaten geändert werden. Inwiefern derartige Attacken bereits erfolgreich waren, ist bislang nicht bekannt. Wer eine solche Fake-Warnung bekommen hat, sollte sie direkt löschen.
(
Kommentare