Сервис GitHub сообщил пользователям о масштабной мошеннической кампании против граждан, которая началась 16.09. Фишеры занимаются рассылкой писем, содержащих ложные уведомления якобы отправленные Circle CI. Данный сервис применяется для деплоя и постоянной разработки.

Таким образом они ставят граждан в известность о том, что в политике конфиденциальности произошли изменения, как и в условиях эксплуатации. В связи с этим люди должны принять все эти изменения у себя в учетке.

Естественно, целью мошенников является кража данных учеток GitHub, а также кодов многофакторной аутентификации, передающиеся при помощи обратных прокси тем, кто атакует. Есть информация, что после того, как нужные сведения будут получены, кибермошенники создают токены персонального доступа, авторизуют OAuth, а в некоторых случаях добавляют SSH-ключи для сохранения доступа к учеткам, даже, если пароль будет сброшен.

В сервисе говорят, что они не пострадали от действий злоумышленников, но немало организаций стали их жертвами.

Внимание пользователей заострили на проблеме и специалисты CircleCI. Там в очередной раз напоминают, что ни при каких бы обстоятельствах сервис не просил бы ввести данные учетки, чтобы что-то подтвердить.

В компании уточнили, что в письмах должны быть ссылки исключительно на circleci.com либо поддомены.

Используемые злоумышленниками домены – это имитация. От оригинала они имеют некоторые отличия. Среди активно используемых несколько:

  • emails-circleci[.]com;
  • circle-ci[.]com;
  • email-circleci[.]com;
  • circle-cl[.]com.

В GitHub указали, что практически сразу, как были совершены взломы, из личных репозиториев начала утекать информация. Мошенники применяют прокси и VPN для затруднения отслеживания. При условии, что учетка с высокими привилегиями, киберпреступники создают еще учетки, чтобы доступ сохранился.

Сейчас специалисты уже заблокировали учетки, вызывающие подозрения. Пароли сброшены, пользователей о происшествии поставят в известность.