Table of Contents
GoIssue: 7 Ameaças de Phishing no GitHub
Pesquisadores descobriram GoIssue, uma ferramenta que visa desenvolvedores do GitHub. Distribuída em fóruns de cibercrime, ela oferece recursos para o roubo em massa de credenciais de desenvolvedores e ataques à cadeia de suprimentos.
Esta ferramenta, possivelmente ligada à campanha GitLoker, uma extorsão cibernética no GitHub, coleta endereços de e-mail de perfis públicos usando tokens do GitHub e outras técnicas automatizadas para enviar e-mails em massa.
Riscos para Desenvolvedores com o GoIssue
GoIssue é comercializada por $700 para uma versão personalizada e $3.000 para acesso ao código-fonte completo. Oferece funções avançadas de coleta de dados e protege a identidade do operador com redes proxy, segundo a SlashNext.
Os desenvolvedores têm sido alvos constantes de ataques, pois possuem acesso a códigos-fonte valiosos. Com GoIssue, os atacantes podem realizar campanhas de phishing que contornam filtros de spam e focam em comunidades de desenvolvedores, mantendo o anonimato.
Essas campanhas podem roubar credenciais e, através de ataques de phishing, os invasores obtêm acesso a repositórios privados, permitindo ataques à cadeia de suprimentos e invasões de redes corporativas.
GoIssue e a Campanha GitLoker
Há evidências que sugerem uma ligação entre GoIssue e a campanha de extorsão GitLoker, pois ambas têm como alvo usuários do GitHub e utilizam métodos similares de comunicação por e-mail para iniciar ataques.
Mesmo que diferentes pessoas distribuam GoIssue, sua presença alerta desenvolvedores no GitHub a serem cautelosos com e-mails suspeitos. Ignorar tais comunicações pode levar a invasões de contas ou projetos, segundo a SlashNext.
Empresas devem preparar suas equipes para reconhecer e relatar ameaças que possam surgir, já que a automação e as ferramentas avançadas estão cada vez mais sofisticadas.
Técnicas Sofisticadas de Phishing no GitHub
Nos últimos anos, observamos um aumento significativo em ataques de phishing direcionados a desenvolvedores no GitHub. Esse crescimento se deve, em parte, ao aparecimento de ferramentas como a GoIssue phishing tool GitHub, que facilita campanhas de phishing massivas e focadas.
Essas ferramentas permitem o uso de técnicas de automatização e engenharia social para comprometer a segurança de credenciais de desenvolvedores. Com isso, os riscos crescentes para as comunidades de desenvolvedores tornam-se evidentes, especialmente quando se fala em roubo de código-fonte e invasões de redes corporativas.
Entender essas técnicas é essencial para arquitetar defesas eficazes contra os cibercrimes direcionados a plataformas de desenvolvimento como o GitHub.
Coleta Automatizada de Dados e Campanhas de Phishing
O ponto de partida para muitos ataques de phishing no GitHub é a coleta automatizada de dados. Usando ferramentas sofisticadas, os invasores conseguem extrair endereços de e-mail e outros dados relevantes de desenvolvedores. A GoIssue, por exemplo, faz isso com eficiência, utilizando APIs e tokens do GitHub.
Com essas informações em mãos, atacantes podem lançar campanhas de phishing em massa. Essas campanhas frequentemente evitam os filtros de spam tradicionais, entregando diretamente e-mails maliciosos nas caixas de entrada dos desenvolvedores.
Essas ações resultam em roubo de credenciais que permitem aos invasores acessar repositórios privados e executar ataques pela cadeia de suprimentos.
Engenharia Social e Imitação de Notificações
A engenharia social é uma técnica crítica usada por atacantes para enganar desenvolvedores no GitHub. Por meio da criação de e-mails falsos, geralmente estilizados para se parecerem com notificações genuínas da plataforma, os invasores enganam os alvos para clicarem em links maliciosos.
Esses ataques se destacam por sua capacidade de evadir PHP filtros de spam, levando o destinatário a acreditar que está interagindo com uma realização legítima
.
O uso dessas técnicas pode levar ao download de malwares ou ao direcionamento para páginas de phishing que roubam credenciais dos usuários.
Navegador Dentro do Navegador: A Técnica BITB
O Browser In The Browser (BITB) attack é uma técnica que simula uma janela de navegador legítima dentro do próprio navegador. Utilizando HTML e CSS, invasores criam uma experiência visual autêntica, enganando os usuários a inserirem suas credenciais em uma página falsa.
Essa simulação detalhada dificulta a identificação do que é ou não verdadeiro, tornando-se uma ameaça considerável para a segurança cibernética no ambiente de desenvolvimento.
Identificar e educar os desenvolvedores sobre essa técnica é crucial para mitigar suas consequências.
Uso Malicioso de OAuth Apps
Muitos ataques de phishing no GitHub envolvem o uso de aplicativos OAuth maliciosos, que solicitam autorização para acessar variáveis e dados sensíveis dos usuários. Desenvolvedores desavisados podem, inadvertidamente, autorizar tais aplicativos, abrindo a porta para exploração significativa.
Essas autorizações indevidas podem levar à exfiltração de dados e acesso não autorizado a informações críticas, comprometendo a segurança do desenvolvedor e da organização onde atuam.
Reconhecer aplicativos maliciosos é vital para proteger as credenciais dos desenvolvedores e prevenir ataques à cadeia de suprimentos.
Educação e Medidas Preventivas
Para efetivamente proteger seus dados, desenvolvedores e empresas devem adotar práticas de defesa robustas contra ameaças de phishing. Medidas como a autenticação de dois fatores e a monitoria contínua de atividades suspeitas são fundamentais.
A contínua educação sobre melhores práticas de segurança também ajuda a reforçar as defesas contra ataques direcionados, que se aproveitam da crescente transformação digital.
Colaborações com especialistas em cibersegurança são fundamentais para identificar vulnerabilidades e reforçar as linhas de defesa contra estas ameaças sofisticadas.
Melhores Práticas para Segurança no Uso do GitHub
Com a crescente proliferação de ameaças de phishing no GitHub, como a GoIssue, e a preocupação com roubo de credenciais de desenvolvedores, é fundamental adotar práticas de segurança robustas para proteger contas e repositórios. O GitHub não é apenas um repositório de código; é um componente crucial na cadeia de suprimentos digitais e, portanto, um alvo principal para ataques cibernéticos.
Autenticação de Dois Fatores (2FA)
A 2FA é uma barreira essencial contra roubo de credenciais e ataques de phishing. Isso garante que mesmo que suas credenciais de login sejam comprometidas, um atacante ainda teria que passar por uma segunda camada de verificação.
Habilitar 2FA é uma regra de ouro. Todos os desenvolvedores e colaboradores externos devem ativar o 2FA em suas contas para aumentar a segurança do sistema. Esta prática protege contra potenciais phishing tool como o GitLoker.
Configurar métodos de recuperação é igualmente crucial. Tenha sempre códigos de recuperação em mãos e várias credenciais de 2FA para prevenir riscos ao perder acesso a um dispositivo ou aplicativo de verificação.
Gestão de Permissões
Uma gestão adequada de permissões é vital para mitigar riscos de OAuth app attacks e brechas em redes corporativas.
Adote uma política de permissões mínimas. Use o token GITHUB_TOKEN com permissões de leitura por padrão e aumente-as apenas quando absolutamente necessário.
Colaborar em repositórios sob propriedade da organização é sempre preferível, já que oferece medidas de segurança mais robustas em comparação aos repositórios de usuários individuais.
Proteção de Segredos e Dados
A proteção de segredos e dados sensíveis deve ser uma prioridade máxima para evitar roubo de código-fonte e exposições indesejadas.
O secret scanning no GitHub é uma ferramenta valiosa que detecta segredos acidentalmente commitados, alertando usuários e parceiros sobre potenciais riscos de segurança.
É prudente rotacionar periodicamente os segredos para minimizar o tempo em que um segrego comprometido possa ser explorado.
Técnicas de Conscientização de Segurança
O treinamento contínuo dos desenvolvedores em práticas de segurança é essencial na prevenção de campanhas de phishing em massa e autorização de rogue OAuth apps.
Estabelecer políticas de segurança internas é fundamental. Essas políticas devem incluir diretrizes sobre o uso de senhas fortes, procedimentos de push seguro e verificação de domínios.
Palestras regulares e workshops para educar os desenvolvedores sobre as técnicas mais recentes de phishing podem melhorar a resposta e a resistência das empresas a diversos ciberataques.
Segurança de Workflows e Compilações
Workflows e compilações seguras são cruciais para garantir a integridade e a segurança do código.
A configuração do hardening para GitHub Actions melhora a segurança dos procedimentos de desenvolvimento e distribuição contínua. Adotar o OpenID Connect e pin actions para commits específicos ajudam a evitar riscos associados a ações externas.
Garantir ambientes de compilação seguros e consistentes melhora a confiabilidade das builds e protege contra comprometimentos futuros.
Outras Práticas Recomendadas
A verificação de domínios é essencial para restringir as notificações de e-mail a domínios verificados, protegendo contra phishing emails.
O uso de um arquivo LEIAME para documentar políticas de segurança corporativa pode ser especialmente útil, ajudando membros da equipe a compreender boas práticas e procedimentos em caso de incidentes.
Essas práticas, implementadas de forma consistente, podem reduzir significativamente as vulnerabilidades organizacionais e aumentar a segurança contra ferramentas de phishing como a GoIssue.
