Una campaña de phishing activa se está infiltrando en las cuentas de GitHub

GitHub, la guarida de los programadores, se acaba de convertir en un nuevo favorito para los phishers, como se informó sobre una campaña activa de phishing llamada Pescado de sierra. El repositorio de código propietario de Microsoft ha informado cómo sus usuarios están siendo atacados con correos electrónicos de phishing para robar sus credenciales y funciona. Advirtió a los usuarios sobre la campaña y emite sugerencias para proteger sus cuentas.

Cuentas de GitHub pirateadas
Cuentas de GitHub pirateadas

Hackear los maestros del código

Los atacantes persiguen cualquier cosa que parezca rentable, ya sea dinero o conocimiento. GitHub informó que una campaña activa llamada Sawfish se dirige a sus usuarios. Muchos grupos de phishing enviaban correos electrónicos no solicitados a varios usuarios para robar sus credenciales de inicio de sesión e incluso descargar su trabajo de cuentas privadas. La mayoría de los usuarios objetivo están asociados con empresas de tecnología y trabajan desde lugares lejanos.

Un correo electrónico de phishing
Un correo electrónico de phishing

La campaña generalmente comienza con correos electrónicos sospechosos, pero los oponentes aquí envían correos electrónicos con direcciones de correo electrónico legítimas como empresas notables. Fueron robados de hacks anteriores como servidores de correo electrónico comprometidos o credenciales de API. Crean el contenido del correo electrónico de cierta manera para invocar una reacción de los usuarios, como una actividad sospechosa detectada o un cambio en la configuración de su cuenta, pidiéndoles que revisen esta actividad iniciando sesión en su cuenta.

Esto los llevaría a un sitio de phishing e incluso capturaría Códigos de autenticación de dos factores basados ​​en TOTP junto con las credenciales de inicio de sesión. Aunque GitHub afirma que los inicios de sesión con claves de hardware no son vulnerables, pero una vez que obtienen acceso de todos modos, los atacantes crean inmediatamente tokens de acceso personal o autorizan aplicaciones de OAuth para accesos futuros, incluso si el usuario cambia las contraseñas.

Entonces, GitHub advirtió a los usuarios que estén al tanto de este correo electrónico, ya que podrían robar trabajo e incluso vender cuentas más tarde. Mencionó algunos pasos como restablecer contraseñas, códigos de recuperación de dos factores, revisar los tokens de acceso personaletc. para proteger la cuenta.

Fuente: Blog de GitHub