Un atacante que dice ser miembro del grupo de piratería Gitloker está ofreciendo una nueva herramienta de phishing de GitHub para la venta o alquiler.
El actor Cyber Luffy afirma ser un “miembro del equipo Gitloker”. Describe la herramienta Goissue como “la mejor solución para extraer de manera eficiente a los usuarios de GitHub y sus correos electrónicos”.
El equipo de Gitloker ha estado secuestrando repositorios de GitHub desde principios de 2024, borrando datos y obligando a los desarrolladores a ayudar con la recuperación. Al informar sobre este nuevo descubrimiento en Goissue, SlashNext cree que vender y usar herramientas de phishing automatizadas es una extensión lógica de Gitloker. operación. Stephen Kowski, CTO de SlashNext Field, dijo a SecurityWeek: “Al final del día, puedes ejecutar un ataque y funciona y puedes ponerlo en funcionamiento”. El trabajo es tuyo y todo lo que tienes que hacer es vender el acceso a las herramientas. ”
Goissues permite a los atacantes extraer direcciones de correo electrónico de los repositorios de GitHub y extender la amenaza más allá de los desarrolladores individuales a toda la organización. “Esta es una puerta de entrada al robo de código fuente, ataques a la cadena de suministro y compromisos de redes corporativas a través de credenciales de desarrollador comprometidas”, advierte SlashNext.
Las características de Goissue incluyen plantillas de correo electrónico personalizables, soporte de proxy, extracción de direcciones de correo electrónico y administración de tokens. Modos de scraping que incluyen seguidores, observadores de estrellas, organizaciones y consultas. “Se agregarán funciones adicionales en futuras actualizaciones para hacer que la herramienta sea aún más robusta y versátil”, afirma Cyber Luffy en un mensaje “Esté atento a esta área” en el foro Goissue.
El ataque puede comenzar recopilando direcciones de correo electrónico de perfiles públicos de GitHub, seguido de una campaña de phishing utilizando correos electrónicos de notificación de GitHub falsos. Como resultado, los filtros de spam maliciosos eluden los filtros de spam maliciosos para páginas de phishing dirigidas a solicitudes de autenticación para aplicaciones OAuth fraudulentas que roban credenciales de desarrollador, distribuyen malware o otorgan acceso a repositorios y enlaces de datos privados. Goissue automatiza eficazmente el proceso, permitiendo que los ataques escale y aumentando el riesgo de una infracción exitosa.
“Siempre que las herramientas y relaciones en las que más confiamos se vuelven en nuestra contra con tanta facilidad y a tal escala, necesitamos un enfoque proactivo y adaptable para mantener seguros a nuestros empleados. Me recuerda al sexo”, advierte el cofundador y director ejecutivo Mika Aalto. Hokuhunt. “A medida que los atacantes se vuelven cada vez más sofisticados y aprovechan la automatización y las herramientas avanzadas, debemos dotar a las personas de los instintos para reconocer correos electrónicos sospechosos y las habilidades para informar sobre amenazas que eluden los filtros”.
Jason Soroko, miembro senior de Sectigo, llama a esto una nueva era en la que las plataformas de desarrollo se convierten en un campo de batalla de alto riesgo. “Esta herramienta permite a los atacantes explotar entornos de desarrolladores confiables al automatizar la recopilación de direcciones de correo electrónico y la ejecución de campañas de phishing personalizadas a escala. Como siempre, el objetivo es el robo de credenciales mediante el secuestro de repositorios basado en OAuth. Los malos saben lo que están haciendo. “Esto se aprovecha de la confianza y la apertura de la comunidad de desarrolladores en particular. Es un mecanismo de ataque de alto impacto”, dijo a SecurityWeek.
anuncio publicitario. Desplázate para seguir leyendo.
SlashNext llama a esto una señal de alerta. “Esto es más que spam. Es un punto de entrada potencial para hacerse cargo de cuentas y proyectos. Con GoIssue potencialmente vinculado a GitLoker, la amenaza es mayor que nunca”, dice el investigador Daniel Kelly de Reform Black Hat.
Relacionado: GitHub parchea vulnerabilidades críticas en servidores empresariales
Relacionado: Fallo de autenticación crítico que afecta a GitHub Enterprise Server
Relacionado: Los artefactos de acción de GitHub filtran tokens y exponen repositorios y servicios en la nube
https://packetstormsecurity.com/news/view/36585/New-GoIssue-Tool-Targets-GitHub-Devs-And-Corporate-Supply-Chains.html
