CircleCI で進行するフィッシング:GitHub のアカウント認証情報と 2FA コードを盗み出す

Hackers stealing GitHub accounts using fake CircleCI notifications

2022/09/22 BleepingComputer — GitHub は、9月16日に始まったフィッシング・キャンペーンが活発に進行していることについて、注意を呼びかけている。具体的に言うと、継続的なインテグレーションとデリバリーのプラットフォームである、CircleCI になりすましたメールがユーザーを狙っているという。この偽メッセージは、「ユーザー規約とプライバシー・ポリシーが変更されたことをユーザー知らせ、GitHub アカウントにサインインして変更を受け入れ、サービスを使い続ける必要がある」と述べている。

Phishing message sent to many GitHub users (CircleCI)

この脅威アクターの目的は、リバース・プロキシを中継して、GitHub のアカウント認証情報と2要素認証 (2FA) コードを盗むことにある。したがって、多要素認証 (MFA) 用のハードウェア・セキュリティ・キーで保護されているアカウントは、この攻撃に対して脆弱ではない。

GitHub は水曜日のアドバイザリで、「GitHub 自体は影響を受けていないが、このキャンペーンは、数多くの組織に影響を与え、被害者を生み出している」と通知している。

CircleCI は、この悪質なキャンペーンに対する認識を高めるため、同社のフォーラムに通知を掲載し、このプラットフォームが利用規約の変更を閲覧するために、ユーザーに認証情報の入力を求めることは決してないと説明している。

CircleCI からの通知には、「CircleCI からの メールには、circleci.com または、そのサブ・ドメインへのリンクのみが含まれている」という点を強調している。

もし、あなたやチームの誰かが誤って、このメールのリンクをクリックした可能性がある場合には、直ちに GitHub と CircleCI の認証情報をローテーションし、そのシステムに不正な動きがないかどうか監査してほしい。

一連のフィッシング・メールを配信するフィッシング・ドメインは、公式の CircleCI (circleci.com) を模倣しようとしている。今のところ、以下のものが確認されている。

  • circle-ci[.]com
  • emails-circleci[.]com
  • circle-cl[.]com
  • email-circleci[.]com

この驚異アクターは、有効なアカウント情報を取得した後に、PAT (Personal Access Tokens) を作成し、OAuth アプリを認証し、時には SSH キーを追加して、パスワード・リセット後も持続性を確保することもあるようだ。

GitHub の報告によると、この侵害が発生した直後から、プライベート・リポジトリからコンテンツが流出しているとのことだ。また、この脅威アクターは、追跡を困難にするために、VPN やプロキシ・サービスを使用している。

侵害されたアカウントに組織管理権限がある場合にが、脅威アクターによる新たなユーザーア・カウント作成が行われ、それらを追加することで、持続性が維持される。

GitHub は、不正の兆候が確認されたアカウントを停止したという。同プラットフォームは、影響を受けたユーザーのパスワードをリセットし、そのユーザーに対しては、このインシデントに関連してパーソナライズされた旨を伝える、メッセージが表示されるという。

GitHub から通知を受け取っていないが、このフィッシング・キャンペーンの被害者かもしれないという根拠がある場合には、アカウントのパスワードと、2FA 回復コードをリセットし、PAT (Personal Access Tokens) を見直し、可能であればハードウェア MFA キーの使用を開始することが推奨される。

GitHub は、ステルス・ハッカーにアカウントを侵害されていないことを確認するために、すべてのユーザーが定期的に実行すべき、セキュリティ・チェックをリストアップしている。

Wikipedia で CircleCI を調べてみたら、「DevOps プラクティスの実装に使用できる、継続的なインテグレーションおよびデリバリーのためのプラットフォームである、CircleCI は、世界で最も人気のある CI/CD プラットフォームの 1 つだ」と説明されていました。9月20日の「MFA 疲れを狙う攻撃:フィッシングで根負けさせ Microsoft/Cisco/Uber などを陥落」では、MFA を実装していても、それを突破する攻撃が増えていることが解説されていましたが、この CircleCI フィッシングも、その種の新たな攻撃パターンのようです。

%d bloggers like this: