Исследователи заметили новую вредоносную кампанию, в рамках которой злоумышленники атакуют репозитории на GitHub, уничтожают их содержимое, а затем просят жертв связаться с ними через Telegram для «получения дополнительной информации».
Первым эти атаки заметил специалист чилийской ИБ-компании CronUp Херман Фернандес (Germán Fernández). Исследователь пишет, что эта кампания, вероятно, активна еще с февраля текущего года и уже затронула десятки репозиориев.
Хакеры, стоящие за атаками, используют ник Gitloker в Telegram и представляются ИБ-аналитиками. По данным издания Bleeping Computer, вероятнее всего, они компрометируют чужие учетные записи на GitHub, используя для этого украденные учетные данные.
Сами пострадавшие пишут, что взлом их учетных записей произошел после перехода по вредоносной ссылке в спамерском письме, якобы полученном от рекрутеров GitHub. По данным Фернндеса, злоумышленники использовали для этой кампании два домена: githubcareers[.]online и githubtalentcommunity[.]online.
В своих вымогательских посланиях взломщики утверждают, что похитили информацию жертв, создав резервную копию, которая могла бы помочь восстановить удаленные данные. Фактически они очищают и переименовывают репозиторий, а также добавляют в него файл README.me, в котором сообщают жертвам, что те должны выйти на связь с хакерами через Telegram.
«Надеюсь, это сообщение застало вас в добром здравии. Это срочное уведомление, чтобы сообщить, что ваши данные скомпрометированы, а мы создали резервную копию», — говорится в вымогательском послании.
Журналисты напоминают, что после предыдущих атак на пользователей GitHub компания уже советовала им сменить пароли, чтобы защитить учетные записи от несанкционированного доступа. Это должно помочь против такой вредоносной активности как добавление новых ключей SSH, авторизация новых приложений или внесение изменений в список членов команды.
Представители GitHub пока не прокомментировали ситуацию с вымогательскими атаками Gitloker.
