Исследователи заметили новую вредоносную кампанию, в рамках которой злоумышленники атакуют репозитории на GitHub.
Они уничтожают их содержимое, а затем просят жертв связаться с ними через Telegram для «получения дополнительной информации».
Первым эти атаки специалист чилийской ИБ-компании CronUp Херман Фернандес (Germán Fernández). Исследователь пишет, что эта кампания, вероятно, активна еще с февраля текущего года и уже затронула десятки репозиориев.
Фото:
Хакеры, стоящие за атаками, используют ник Gitloker в Telegram и представляются ИБ-аналитиками. По данным издания , вероятнее всего, они компрометируют чужие учетные записи на GitHub, используя для этого украденные учетные данные.
Сами пострадавшие , что взлом их учетных записей произошел после перехода по вредоносной ссылке в спамерском письме, якобы полученном от рекрутеров GitHub. По данным Фернндеса, злоумышленники использовали для этой кампании два домена: githubcareers[.]online и githubtalentcommunity[.]online.
В своих вымогательских посланиях взломщики утверждают, что похитили информацию жертв, создав резервную копию, которая могла бы помочь восстановить удаленные данные. Фактически они очищают и переименовывают репозиторий, а также добавляют в него файл README.me, в котором сообщают жертвам, что те должны выйти на связь с хакерами через Telegram.
Журналисты напоминают, что после предыдущих атак на пользователей GitHub компания уже им сменить пароли, чтобы защитить учетные записи от несанкционированного доступа. Это должно помочь против такой вредоносной активности как добавление новых ключей SSH, авторизация новых приложений или внесение изменений в список членов команды.
Представители GitHub пока не прокомментировали ситуацию с вымогательскими атаками Gitloker.
Они уничтожают их содержимое, а затем просят жертв связаться с ними через Telegram для «получения дополнительной информации».
Первым эти атаки специалист чилийской ИБ-компании CronUp Херман Фернандес (Germán Fernández). Исследователь пишет, что эта кампания, вероятно, активна еще с февраля текущего года и уже затронула десятки репозиориев.
Фото:
Хакеры, стоящие за атаками, используют ник Gitloker в Telegram и представляются ИБ-аналитиками. По данным издания , вероятнее всего, они компрометируют чужие учетные записи на GitHub, используя для этого украденные учетные данные.
Сами пострадавшие , что взлом их учетных записей произошел после перехода по вредоносной ссылке в спамерском письме, якобы полученном от рекрутеров GitHub. По данным Фернндеса, злоумышленники использовали для этой кампании два домена: githubcareers[.]online и githubtalentcommunity[.]online.
В своих вымогательских посланиях взломщики утверждают, что похитили информацию жертв, создав резервную копию, которая могла бы помочь восстановить удаленные данные. Фактически они очищают и переименовывают репозиторий, а также добавляют в него файл README.me, в котором сообщают жертвам, что те должны выйти на связь с хакерами через Telegram.
Журналисты напоминают, что после предыдущих атак на пользователей GitHub компания уже им сменить пароли, чтобы защитить учетные записи от несанкционированного доступа. Это должно помочь против такой вредоносной активности как добавление новых ключей SSH, авторизация новых приложений или внесение изменений в список членов команды.
Представители GitHub пока не прокомментировали ситуацию с вымогательскими атаками Gitloker.
