GitHub: falsi avvisi di sicurezza usano OAuth per dirottare account

Una campagna di phishing diffusa ha preso di mira quasi 12.000 repository GitHub con falsi problemi di "Avviso di sicurezza". Lo scopo era quello indurre gli sviluppatori ad autorizzare un'app OAuth dannosa che concede agli aggressori il pieno controllo sui loro account e codice. Come si legge su GitHub: "Avviso di sicurezza: tentativo di accesso insolito Abbiamo rilevato un tentativo di accesso al tuo account GitHub che sembra provenire da una nuova posizione o dispositivo". Tutti i problemi di phishing di GitHub contengono lo stesso testo. Questo avvisa gli utenti che si è verificata un'attività insolita sul loro account da Reykjavik, Islanda, e dall'indirizzo IP 53.253.117.8.

Il ricercatore di sicurezza informatica Luc4m ha individuato per primo il falso avviso di sicurezza. Questo avvisava gli utenti di GitHub che il loro account era stato violato e che avrebbero dovuto aggiornare la password, rivedere e gestire le sessioni attive e abilitare l'autenticazione a due fattori per proteggere i loro account. Tuttavia, tutti i link per queste azioni consigliate portano a una pagina di autorizzazione GitHub per un'app OAuth "gitsecurityapp" che richiede molte autorizzazioni rischiose. Inoltre, consentirebbe a un aggressore l'accesso completo all'account e ai repository di un utente.

GitHub: utenti colpiti dovrebbero revocare l’autorizzazione all’app OAuth

I permessi richiesti e l'accesso che forniscono sono diversi. Ad esempio: “repo” concede l'accesso completo ai repository pubblici e privati e “user” offre la possibilità di leggere e scrivere sul profilo utente. Inoltre, “read:org” legge l'appartenenza all'organizzazione, i progetti dell'organizzazione e l'appartenenza al team. “Read: discussion” e “write:discussion” permettono l’accesso in lettura e scrittura alle discussioni e “gist” l’accesso ai gist di GitHub. Infine, “delete_repo” è un’autorizzazione per eliminare i repository e “workflows”, “workflow”, “write:workflow”, “read:workflow”, “update:workflow” permettono il controllo sui flussi di lavoro di GitHub Actions. Se un utente GitHub accede e autorizza l'app OAuth dannosa, verrà generato un token di accesso che verrà inviato all'indirizzo di callback dell'app. Quest’ultimo è costituito da varie pagine web ospitate su onrender.com (Render).

La campagna di phishing è iniziata nelle scorse ore ed è in corso, con quasi 12.000 repository presi di mira dall'attacco. Tuttavia, GitHub sta probabilmente rispondendo all'attacco per proteggere i suoi utenti. Gli utenti colpiti da questo attacco di phishing che hanno erroneamente concesso l'autorizzazione all'app OAuth, dovrebbero revocarne immediatamente l'accesso. Per fare ciò basta accedere alle Impostazioni GitHub e poi selezionare Applicazioni. Dalla schermata Applicazioni, revocare l'accesso a tutte le app GitHub o alle app OAuth che non sono familiari o sospette. In questa campagna, bisogna cercare app con nomi simili a "gitsecurityapp". È quindi necessario cercare nuove o azioni GitHub inaspettate (flussi di lavoro) e se sono stati creati gist privati. Infine, è consigliato cambiare le credenziali e i token di autorizzazione.