Bleeping Computerは6月10日(米国時間)、「Gitloker attacks abuse GitHub notifications to push malicious oAuth apps」において、GitHubのセキュリティチームおよび採用担当者になりすましてリポジトリを乗っ取る恐喝キャンペーンに注意を呼びかけた。Gitlokersを名乗る攻撃者は乗っ取ったリポジトリをバックアップしてから破壊し、バックアップに対する身代金を要求するとされる。

Gitloker attacks abuse GitHub notifications to push malicious oAuth apps

○Gitlokersをかたる攻撃者による恐喝の概要

Bleeping Computerによると、2024年2月ごろから始まったとみられるこの恐喝キャンペーンでは、初めにフィッシングメールやメンション通知を使用して標的をフィッシングサイトに誘導するという。「notifications@github.com」と名乗る人物からメールが送られ、GitHubのセキュリティチームまたは採用担当者を名乗る。

フィッシングサイトは「githubcareers[.]online」または「githubtalentcommunity[.]online」のいずれかで、アクセスすると悪意のあるOAuthアプリへの認証を求められる。認証するとOAuthアプリを通じてリポジトリが乗っ取られる。その後、リポジトリは破壊され、攻撃者のTelegramへ連絡するように通知する「README.md」ファイルだけが残される。

○対策

GitHubのコミュニティーマネージャーは、この件について次のように述べ、不審な活動を不正使用報告ツール「Reporting abuse or spam - GitHub Docs」から通報するように求めている。

このようなフィッシング通知によりご迷惑をおかけしております。私たちのチームはこのような事態を軽減するために積極的に取り組んでいます。ユーザーの皆様には、引き続き不正使用報告ツールを使用して、不正使用や不審な活動を報告するようお願いします。

また、ユーザーに次のような対策を推奨している。

同様のフィッシングメールやメンション通知に返信したり、リンクにアクセスしたりしない。可能であれば不正使用報告ツールから通報する

OAuthアプリを認証するとGitHubアカウントやデータが第三者に公開される可能性があることを理解する

認証したOAuthアプリを定期的に確認する

このサイバー攻撃はGitHubのメンションおよび通知機能を悪用していることを理解する

この件はフィッシングキャンペーンの一種であり、GitHubのシステム侵害によるものではない。ユーザーにはGitHubの仕組みをよく理解し、だまされないよう行動することが望まれている。