TokyoBlackHatNews

gbhackers.com 4分で読了

GitHubの問題アラートがOAuthフィッシング詐欺で悪用、開発者をターゲット

ハッカーはGitHubの問題通知メールを悪用して開発者をフィッシングし、悪意のあるOAuthアプリケーションを使用して静かにリポジトリを乗っ取り、信頼されたDevOpsツールをサプライチェーン攻撃ベクトルに変えています。

開発者は現在主要なターゲットになっています。なぜなら彼らのアカウントを侵害すると、攻撃者はソースコード、CI/CDパイプライン、本番環境ワークフローに直接アクセスでき、これは典型的なサプライチェーン攻撃経路になるからです。

攻撃者は、緊急のセキュリティアラートのように見える公開GitHubリポジトリで問題を作成することから始めます。たとえば、被害者のアカウントに関連する「異常なアクセス試行」または「悪意のあるコミット」について警告します。

最近のキャンペーンでは、大規模に配布された単一の悪意のあるOAuthアプリが、数日のうちに数千のリポジトリに影響を与える可能性があることが示されています。GitHubなどの信頼されたプラットフォームを悪用することで、攻撃者は多くの従来のメールフィルターをバイパスし、開発者のインボックスに直接到達できます。

Image

彼らは問題の本文に特定のユーザー名を記載し、これはGitHubのnoreplyアドレスから対象のプライマリメールへの正当な通知メールを自動的にトリガーします。

GitHubの問題フィッシングの仕組み

問題のテキストはMarkdownで慎重にフォーマットされており、太字の警告、偽の検出詳細、および「アクティビティを確認する」または「アカウントをセキュアにする」ことができると主張するリンクが混合されています。

Image

これらのメッセージはGitHubの独自のインフラストラクチャから発信されるため、SPFおよびDKIMチェックに合格し、通常のリポジトリ通知と同じに見えるため、一見すると実際のアラートと区別するのが難しくなります。

一部の攻撃者は、GitHubセキュリティサービスまたは既知のツールに似たアカウント名とリポジトリ名を選択することで、さらに信頼性を高めます。そのため、メールの件名が信頼できるように見えます。

場合によっては、攻撃者が通知送信後に問題を編集またはクリーンアップするTime-of-Check Time-of-Use(TOCTOU)トリックが報告されており、被害者のインボックスには元のおびき寄せが残っているのに対し、リポジトリにはほとんど痕跡が残りません。

被害者を偽のログインページに誘導する代わりに、埋め込まれたリンクは攻撃者が制御する不正なアプリケーション用の正当なgithub.com OAuthの認可URLに導きます。

そのページで、アプリはユーザーのメール、プロフィール、プライベートおよびパブリックリポジトリ、およびGitHub Actionsワークフローへのアクセスなどの強力なスコープを要求し、同意が与えられると攻撃者に広範な制御を与えます。

同意フィッシング(Consent Phishing)と呼ばれることが多いこのモデルにより、脅威アクターはパスワードを盗んだり多要素認証を直接破ったりすることなく、永続的なAPI レベルのアクセスを取得できます。

悪意のあるOAuthアプリと2FA回避

ユーザーが「認可」をクリックすると、GitHubはOAuthアクセストークンを悪意のあるアプリに発行し、プライベートリポジトリをクローンしたり、コードにバックドアを挿入したり、ワークフローを改ざんしたり、機密データを漏洩させたりできます。

MalGitAppのパブリックリポジトリをフォークし、GitHubフィッシングアカウントで実行してからRenderに接続します。目的のリポジトリのみを選択して「インストール」をクリックします。

Image

セキュリティ研究者は、この手法で約12,000のリポジトリに影響を与えるキャンペーンを文書化しており、単一の悪意のあるアプリがいかに迅速に開発者エコシステム全体に拡大するかを示しています。

すべてが公式のGitHubフローとURLを通じて行われるため、多くのユーザーは疑わしいコミットまたはリポジトリアクティビティが表示されるまで、アクセスを引き渡したことに気づきません。

組織はOAuthアプリの承認を高リスクイベントとして扱い、開発者が認可することを許可されるアプリを制限する必要があります。特にリポジトリまたはワークフロースコープをリクエストするアプリです。

セキュリティチームは既存のOAuth許可を定期的にレビューし、未使用または疑わしいアプリを取り消し、直接ログインではなくトークンに関連する異常なリポジトリの変更を監視する必要があります。

開発者は、メール内のリンクをクリックする代わりに、GitHubの独自のセキュリティセンターまたは通知ページを直接チェックして、「セキュリティアラート」を確認することをお勧めします。また、自分自身をセキュリティスキャナーとしてブランド化しているのに完全なリポジトリアクセスを要求するアプリに注意してください。

翻訳元: https://gbhackers.com/oauth-phishing-scam/

ソース: gbhackers.com
#CI/CD攻撃 #consent phishing #GitHub #OAuth攻撃 #アカウント乗っ取り #サプライチェーン攻撃 #セキュリティ脅威 #フィッシング詐欺 #リポジトリ侵害 #開発者狙い

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚