研究者が、GitHubの通知システムを悪用して認証情報窃取型フィッシング罠を開発者のメールボックスに直接配信し、多要素認証(MFA)と従来のフィッシング防御を完全に回避する巧妙なフィッシング技術を発見しました。
開発者はソフトウェアサプライチェーンにおける特権的な立場のため、脅威アクターの最優先ターゲットとなっています。
CI/CDパイプライン、本番サーバー、およびエンドユーザーマシンで実行されるコードの構築者として、単一の開発者アカウントを侵害すると、組織全体の壊滅的な侵害につながる可能性があります。
このタイプの攻撃は広くサプライチェーン攻撃として分類され、敵対者が信頼できるサードパーティを侵害して、より大きなターゲットに大規模にアクセスします。
最近の有名な例としては、AxiosおよびLiteLLMエコシステムの侵害されたパッケージが含まれており、それぞれ週に1億回以上のダウンロード数があります。
攻撃チェーンは、脅威アクターがGitHubアカウントを作成し、正当な自動セキュリティスキャンサービスになりすます悪質なOAuth 2.0アプリケーションを登録することから始まります。
OAuthアプリはGitHubの認可フレームワークを使用して、アクセストークン経由で特定のユーザー権限をリクエストします。
このシナリオでは、攻撃者は危険な権限スコープの組み合わせをリクエストします:user:email、read: user、repo(すべての公開および非公開リポジトリへの完全な読み取り/書き込み)、およびworkflow(GitHub Actionsへの読み取り/書き込みアクセス)。
これらの権限があれば、攻撃者は被害者のGitHubアカウントのほぼ完全な制御を獲得します。これにはプライベートリポジトリの表示、バックドアコードの注入、およびCI/CDパイプライン設定の操作の能力が含まれます。
誘引を配信するために、攻撃者はGitHubの問題通知システムを悪用します。GitHubユーザーが公開リポジトリの問題で言及される(@ユーザー名)と、GitHubは信頼できる[email protected]ドメインから発信されたメール通知を自動的に主アドレスに送信します。
攻撃者は問題本文として説得力のある偽のセキュリティアラートを作成し、マークダウンフォーマット を使用して正当に見えるアンカーテキストの背後にフィッシングリンクを埋め込みます。
観測されたキャンペーンで使用されたサンプルの前置きは、「悪質なコミット経由の侵入がブロックされた」ことを被害者に警告し、偽のタイムスタンプ、コミットハッシュ、および緊急性を誘導する行動喚起が含まれていました。
メールはGitHub独自のインフラから発信され、信頼できる通知パスを通じて開発者のメールボックスに到達するため、スパムフィルターを確実にバイパスし、疑いを最小限に抑えます。
検出をさらに回避するために、攻撃者はOAuth認可URLをリンク短縮サービスでマスクします。これは必要なステップです。なぜなら、GitHubはgithub.com/login/oauth/authorizeURLを直接埋め込む問題にフラグを立て、削除することが観察されているため、OAuthアプリの削除と永続的なアカウント禁止につながるからです。
研究者はまた、GitHubの通知システム内でTime-of-Check Time-of-Use(TOCTOU)レース条件を発見しました。
攻撃者はターゲット atsika トリガー メール通知を言及する問題を作成でき、その後、被害者がリポジトリにアクセスする前にすぐに問題を編集してすべてのフィッシングコンテンツを削除します。
翻訳元: https://cyberpress.org/github-alerts-fuel-phishing/