Специалисты SlashNext обнаружили, что операторы вредоносной кампании Gitloker создали новый фишинговый инструмент Goissue, нацеленный на разработчиков на GitHub. С помощью Goissue злоумышленники могут извлекать email-адреса из публично доступных профилей GitHub, а затем направлять на эти ящики фишинговые атаки.
По данным исследователей, фишинговый инструмент сдает в аренду и продает хакер под ником cyberdluffy (он же Cyber D' Luffy), который утверждает, что он является частью команды Gitloker.
Напомним, что активность Gitloker была замечена летом 2024 года. В рамках этой кампании злоумышленники атаковали репозитории на GitHub, уничтожали их содержимое, а затем просили жертв связаться с ними через Telegram для «получения дополнительной информации».
Cyberdluffy описывает Goissue как «решение для эффективного извлечения с GitHub данных о пользователях и их электронной почты». Фактически это автоматизированный фишинговый инструмент, который является логическим продолжением операций Gitloker.
«В конечном итоге, после того как вы провели атаку, и она сработала, это превращается в рутину, — рассказывают аналитики SlashNext. — Теперь у вас на руках есть набор инструментов, и не нужно делать работу самому: вы можете просто продавать доступ к этим инструментам».
Кастомная сборка Goissue будет стоить 700 долларов. Кроме того, покупатели могут получить полный доступ к исходному коду инструмента за 3000 долларов.
Goissue позволяет злоумышленникам извлекать email-адреса разработчиков с GitHub, что угрожает не только отдельным людям, но и целым организациям. «Это прямой путь к краже исходного кода, атакам на цепочки поставок и взлому корпоративных сетей через скомпрометированные учетные данные разработчиков», — предупреждают эксперты.
Среди возможностей Goissue: настраиваемые шаблоны писем, поддержка прокси-серверов, извлечение адресов электронной почты и управление токенами. Также есть различные режимы скрапинга, а в будущих релизах злоумышленники обещают добавить дополнительные функции и «сделать инструмент еще более надежным и универсальным».
Так, атака с применением Goissue может начаться со сбора email-адресов из публичных профилей GitHub, а затем перейти в фишинговую кампанию с использованием писем-уведомлений от GitHub. В таких посланиях преступники могут выдавать себя за сотрудников службы безопасности или рекрутеров GitHub.
Такие послания от злоумышленников содержат ссылки на фишинговую страницу, предназначенную для кражи учетных данных, доставки малвари или запроса авторизации через OAuth, чтобы получить доступ к приватным репозиториям и данным. В сущности, Goissue позволяет автоматизировать весь процесс и масштабировать такие атаки.
«Злоумышленники получают возможность запускать кастомизированные и массовые email-кампании, призванные обойти спам-фильтры и нацеленные на конкретные сообщества разработчиков», — предостерегают исследователи.
В SlashNext резюмируют, что появление Goissue – это тревожный сигнал. По словам экспертов, речь идет не просто о каком-то спаме, но о возможности рассылать таргетированные письма массово, что ведет к потенциальной компрометации и захвату аккаунтов или целых проектов.