Multi-License Discount Quote
Données concernant les menaces Phishing Attaques de phishing sur Gitlocker

Attaques de phishing sur Gitlocker

Par Mezo en Phishing
Se traduisent par :
Français

Dans le paysage changeant des menaces de cybersécurité, une nouvelle campagne d’attaque Gitlocker a émergé, ciblant les référentiels GitHub. Cette opération implique que des acteurs malveillants compromettent les comptes, effacent le contenu du référentiel et demandent aux victimes de les contacter via Telegram pour obtenir des instructions supplémentaires. Cet article approfondit les spécificités de cette campagne, son mode opératoire et recommande les mesures de sécurité pour se protéger contre de telles attaques.

Mode opératoire de l’attaque

Les attaquants de la campagne Gitlocker ciblent spécifiquement les référentiels GitHub. Une fois qu’ils ont accès à un référentiel, ils procèdent à l’effacement de son contenu. Les attaquants renomment ensuite le référentiel et laissent un fichier README.me avec une demande de rançon, demandant aux victimes de les contacter sur Telegram.

Informations d'identification volées

L'acteur malveillant derrière cette campagne, opérant sous le nom de Gitloker sur Telegram, semble accéder aux comptes GitHub en utilisant des informations d'identification volées. Se faisant passer pour un analyste des cyberincidents, ils affirment avoir sauvegardé les données compromises et proposent de les aider à les restaurer. Le texte intégral de la demande de rançon se lit comme suit :
«J'espère que ce message vous trouvera bien. Il s'agit d'un avis urgent pour vous informer que vos données ont été compromises et nous avons sécurisé une sauvegarde.

Réponse et recommandations

Suite à des attaques précédentes, GitHub a conseillé aux utilisateurs de modifier leurs mots de passe pour sécuriser leurs comptes contre tout accès non autorisé. Cette action est cruciale pour empêcher les activités malveillantes telles que l'ajout de nouvelles clés SSH, l'autorisation de nouvelles applications ou la modification des membres de l'équipe.

Mesures de sécurité renforcées

Pour éviter d'autres compromissions et détecter les activités suspectes, les utilisateurs sont encouragés à mettre en œuvre les mesures de sécurité suivantes :

  • Activer l'authentification à deux facteurs (2FA) : Ajout d'une couche de sécurité supplémentaire au processus de connexion.
  • Ajouter un mot de passe : pour une connexion sécurisée et sans mot de passe.
  • Examinez et révoquez les accès non autorisés : vérifiez et gérez régulièrement les clés SSH, déployez les clés et les intégrations autorisées.
  • Vérifier les adresses e-mail : assurez-vous que toutes les adresses e-mail associées sont correctes et sécurisées.
  • Examinez les journaux de sécurité du compte : suivez les modifications du référentiel pour identifier toute modification non autorisée.
  • Gérer les webhooks : auditez et gérez régulièrement les webhooks sur les référentiels.
  • Rechercher de nouvelles clés de déploiement : révoquez toutes les clés de déploiement non autorisées ou nouvelles.
  • Examiner les engagements et collaborateurs récents : assurez-vous que tous les changements et contributeurs récents sont légitimes.

    • Contexte historique des compromissions de GitHub

    L'attaque Gitlocker n'est pas un incident isolé. Les comptes GitHub ont déjà été ciblés et compromis, entraînant d'importantes violations de données.
    Mars 2020 Microsoft Breach : des pirates ont compromis le compte de Microsoft, volant plus de 500 Go de fichiers dans des référentiels privés. Bien que les données volées soient principalement constituées d'échantillons de code et de projets de test, des inquiétudes ont été soulevées quant à l'exposition de clés API et de mots de passe privés. L’acteur malveillant ShinyHunters a finalement divulgué les données gratuitement après avoir initialement prévu de les vendre.
    Campagne de phishing de septembre 2020 : les utilisateurs de GitHub ont été ciblés dans une campagne de phishing impliquant de fausses notifications CircleCI. Les attaquants visaient à voler les informations d'identification GitHub et les codes 2FA via des proxys inverses. Après avoir compromis les comptes, ils ont exfiltré les données et ajouté de nouveaux comptes d'utilisateurs pour maintenir un accès persistant.

    Conclusion

    L'attaque de phishing Gitlocker souligne la menace persistante qui pèse sur les référentiels en ligne et l'importance de pratiques de sécurité robustes. En mettant en œuvre les mesures de sécurité recommandées et en restant vigilants, les utilisateurs peuvent mieux protéger leurs comptes GitHub contre les accès non autorisés et les pertes potentielles de données. Alors que les cybermenaces continuent d’évoluer, il est essentiel de maintenir une approche proactive en matière de sécurité pour protéger les actifs numériques précieux.

    Tendance

    Le plus regardé

    Chargement...