Los ciberdelincuentes se hacen pasar por (se abre en una pestaña nueva) CircleCI para intentar robar cuentas de GitHub, han confirmado ambas compañías.
Según las dos empresas, los delincuentes están distribuyendo actualmente un correo electrónico de phishing, en el que se hacen pasar por la plataforma de integración y entrega continua, CircleCI.
El correo electrónico se envía a los usuarios de GitHub y les advierte que los términos de usuario y la política de privacidad de CircleCI han cambiado y que deben iniciar sesión en sus cuentas de GitHub para aceptar los nuevos términos.
Advertencia de GitHub
Como era de esperar, hay un enlace en la parte inferior del correo electrónico en el que los destinatarios pueden hacer clic para «aceptar» los cambios. Aquellos que lo hagan, corren el riesgo de que les roben las credenciales de su cuenta de GitHub, así como los códigos de autenticación de dos factores (2FA), ya que los atacantes transmiten esta información a través de proxies inversos. De acuerdo a BleepingEquipolos usuarios con llaves de seguridad de hardware no son vulnerables.
“Si bien GitHub en sí no se vio afectado, la campaña ha impactado a muchas organizaciones de víctimas”, dijo GitHub en su advertencia.
Múltiples dominios de ataque
CircleCI también publicó un anuncio en sus foros, advirtiendo a los usuarios sobre el ataque en curso y reiterando que la empresa nunca les pedirá a los usuarios que ingresen ninguna credencial para ver los cambios de ToS.
“Cualquier correo electrónico de CircleCI solo debe incluir enlaces a circleci.com o sus subdominios”, enfatizó la compañía.
Hasta ahora, se han confirmado varios dominios que distribuyen el correo electrónico de phishing:
- circulo-ci[.]com
- emails-circleci[.]com
- círculo-cl[.]com
- email-circleci[.]com
Los atacantes persiguen al desarrollador de GitHub (se abre en una pestaña nueva) cuentas, y si logran ingresar a una, lo siguiente que harán es crear tokens de acceso personal (PAT), autorizar aplicaciones OAuth e incluso agregar claves SSH a la cuenta, para asegurarse de que conserven el acceso incluso después de la los dueños cambian la contraseña.
Después de eso, agregó GitHub, tomarán datos de repositorios privados. Desde entonces, la compañía ha bloqueado varias cuentas, que se confirmó que estaban comprometidas. A todos los usuarios potencialmente afectados se les han restablecido las contraseñas de sus cuentas.
Vía: BleepingComputer (se abre en una pestaña nueva)