Uma técnica de phishing sofisticada foi descoberta por pesquisadores de segurança, explorando o próprio sistema de notificações do GitHub para entregar solicitações maliciosas de autorização OAuth a desenvolvedores. Este ataque é particularmente perigoso porque utiliza a infraestrutura confiável do GitHub, dificultando a distinção por parte das vítimas.
Descoberta e escopo da campanha
Analistas da Atsika identificaram esta campanha enquanto pesquisavam técnicas de acesso inicial menos conhecidas direcionadas a desenvolvedores no GitHub. Os atacantes não dependem da abordagem típica de Attacker-in-The-Middle. Em vez disso, exploram o sistema de notificação de issues incorporado do GitHub, que envia automaticamente um e-mail para qualquer usuário mencionado na descrição de uma issue.
Vetor e exploração técnica
O que torna esta campanha especialmente alarmante é sua configuração de custo zero. Um atacante precisa apenas de uma conta gratuita do GitHub, um aplicativo OAuth malicioso e um servidor de hospedagem gratuito. O ator da ameaça cria uma conta falsa do GitHub impersonando um serviço de segurança oficial, com um nome de exibição convincente e um repositório fabricado.
Evidências e limites da exploração
Eles constroem um aplicativo OAuth, nomeado "MalGitApp" no proof-of-concept, que solicita permissões perigosas, incluindo acesso total de leitura e escrita a repositórios públicos e privados, acesso aos fluxos de trabalho do GitHub Actions e dados de e-mail e perfil do usuário. Uma vez que o alvo clica no link de phishing embutido no e-mail de notificação, ele é levado a uma página legítima de autorização do GitHub.
Impacto e alcance
Desenvolvedores estão entre os alvos mais valiosos para cibercriminosos hoje. Eles escrevem e gerenciam o código que alimenta aplicações, pipelines de CI/CD e servidores de produção. Ao comprometer a conta de um desenvolvedor, um atacante ganha acesso direto ao código-fonte, repositórios privados e fluxos de trabalho automatizados, que podem ser usados para injetar código malicioso em cadeias de suprimentos de software em escala.
Medidas de mitigação recomendadas
Desenvolvedores e organizações devem tomar as seguintes medidas para reduzir a exposição: sempre revisar as permissões solicitadas por qualquer aplicativo OAuth antes de clicar em "Autorizar", especialmente quando o pedido chega por um e-mail inesperado. Auditar regularmente aplicativos OAuth autorizados nas configurações da conta do GitHub e revogar qualquer aplicativo que pareça desconhecido.
O que os CISOs devem fazer imediatamente
Restringir interações de repositórios limitando quem pode abrir issues ou mencionar usuários em repositórios públicos. Habilitar alertas de segurança do GitHub e monitorar a atividade de tokens de acesso para detectar uso não autorizado precocemente. Lembre-se de que uma ferramenta de segurança legítima nunca solicitará acesso total ao repositório por meio de uma notificação de e-mail não solicitada.