Pengguna GitHub saat ini sedang ditargetkan oleh serangan phishing yang dirancang khusus untuk mengumpulkan dan mencuri akun pengguna melalui landing page yang meniru halaman login GitHub.
Selain mengambil alih akun korban, para penyerang juga mengunduh konten dari repositori pribadi, termasuk tetapi tidak terbatas pada “yang dimiliki oleh akun organisasi dan kolaborator lainnya”.
“Jika penyerang berhasil mencuri akun pengguna GitHub, mereka akan cepat-cepat membuat token akses pribadi GitHub atau mengotorisasi aplikasi OAuth pada akun untuk menjaga akses jika pengguna mengubah kata sandi mereka,” kata Security Incident Response Team (SIRT) GitHub.
Serangan phising yang sedang berlangsung ini dijuliki SawFish oleh SIRT GitHub, juga menerbitkan informasi tentang serangan phishing yang sedang berlangsung ini untuk meningkatkan kesadaran dan memungkinkan pengguna yang mungkin ditargetkan untuk melindungi akun dan repositori mereka.
Serangan phishing SawFish menargetkan akun GitHub yang aktif
Email phising menggunakan berbagai umpan untuk menjebak target agar mengklik tautan berbahaya yang tertanam dalam pesan, beberapa mengatakan bahwa aktivitas tidak sah terdeteksi, sementara yang lain menyebutkan ada perubahan pada repositori atau pengaturan akun pengguna yang ditargetkan.
Pengguna yang terjebak dan mengklik tautan berbahaya untuk memeriksa aktivitas akun mereka kemudian dialihkan ke halaman login GitHub palsu yang mengumpulkan rincian login akun mereka dan mengirimkannya ke server yang dikendalikan penyerang.
Halaman phising juga akan mengeksfiltrasi kode 2FA korban secara real-time jika mereka menggunakan aplikasi seluler time-based one-time password (TOTP), memungkinkan penyerang di balik serangan ini “untuk masuk ke akun yang dilindungi oleh otentikasi dua faktor berbasis TOTP”.
Namun, “akun yang dilindungi oleh kunci keamanan melalui perangkat keras tidak rentan terhadap serangan ini,” SIRT menjelaskan.
Baca juga: “Penyerang Targetkan Pengguna GitHub, GitLab, dan Bitbucket, Menghapus Repo, Lalu Meninggalkan Catatan Ransom“
Serangan phishing SawFish ini menargetkan pengguna GitHub aktif yang bekerja untuk perusahaan teknologi dari berbagai negara menggunakan alamat email yang diperoleh dari commit publik.
Email phishing dikirim dari domain yang sah, baik menggunakan server email yang sebelumnya telah disusupi atau dengan bantuan kredensial API curian untuk penyedia layanan email massal yang sah.
Penyerang di balik kampanye ini juga menggunakan layanan pemendekan URL yang dirancang untuk menyembunyikan URL halaman phishing.
Untuk membuat tautan berbahaya yang digunakan dalam serangan itu terlihat tidak terlalu mencurigakan, penyerang juga menggunakan pengalihan berbasis PHP di situs yang disusupi.
“Untuk mencegah serangan phishing (yang mengumpulkan 2FA) berhasil, pertimbangkan untuk menggunakan kunci keamanan melalui perangkat keras atau otentikasi dua faktor WebAuthn,” GitHub menyarankan. “Juga pertimbangkan menggunakan pengelola kata sandi yang terintegrasi dengan browser.”
