Barracuda full logo

Cybersecurity-Bedrohungshinweis: Phishing-Angriffe auf GitHub-Konten

Themen:
23. Sept.. 2022
|
Matthew Russo

GitHub hat die Öffentlichkeit darauf hingewiesen, dass es eine laufende Phishing-Kampagne gibt, die sich an seine Benutzer richtet, indem sie sich als CircleCI Continuous Integrations- und Bereitstellungsplattform ausgibt. Diese Phishing-Angriffe sind darauf ausgelegt, die Zugangsdaten und Authentifizierungscodes des anvisierten Benutzers zu stehlen. Ein erfolgreicher Angriff gibt Bedrohungsakteuren vollen Zugriff auf das GitHub-Konto des Opfers. In einem kürzlich veröffentlichten Hinweis empfahl GitHub allen Benutzern, ihr Kontopasswort und die Wiederherstellungscodes für die Zwei-Faktor-Authentifizierung zurückzusetzen, Ihre PATs (Persönliche Zugriffstoken) zu überprüfen und, wenn möglich, einen Hardware-MFA-(Multifaktor-Authentifizierung-)Schlüssel zu verwenden.

Darüber hinaus empfiehlt Barracuda Organisationen, einen E-Mail-Schutz zu implementieren, um sich proaktiv gegen Phishing-Bedrohungen zu verteidigen.

Technische Details & weitere Informationen

Welcher Art ist die Bedrohung?

Die neue Phishing-Kampagne ist darauf ausgelegt, Zugangsdaten und Authentifizierungscodes für GitHub-Konten zu stehlen. Um ein Konto zu kompromittieren, muss der Benutzer mit der gefälschten GitHub-Anmeldeseite interagieren, indem er seine Zugangsdaten zusammen mit seinem MFA-Code eingibt. Bis heute sind die einzigen GitHub-Konten, die von diesem Angriff nicht betroffen sind, diejenigen, die einen Hardware-MFA-Schlüssel verwenden. Wenn der Angriff erfolgreich ist, leiten bösartige Akteure die Zugangsdaten über Reverse-Proxys weiter. Reverse-Proxys sind Server, die sich in der Regel hinter einer Firewall in einem privaten Netzwerk befinden und den Datenverkehr auf den ursprünglich angeforderten Server weiterleiten, um Security und Anonymität zu gewährleisten. „Alle E-Mails von CircleCI sollten nur Links zu circleci.com oder seinen Subdomains enthalten“, unterstreicht der Hinweis von CircleCI. Zu den falschen E-Mail-Domains gehören „circle-ci[.]com“, „emails-circleci[.]com“, „circle-cl[.]com“ und „email-circleci[.]com“.

Warum sollte man aufmerksam sein?

GitHub ist ein sehr beliebter Service für Softwareentwicklung und Versionskontrolle, der von Organisationen verwendet wird. Phishing-Kampagnen werden in der Regel an mehrere Benutzer verschickt, was das Risiko einer Kompromittierung innerhalb einer Organisation erhöht. Bei einem Service wie GitHub sind Millionen von Benutzern registriert, die einem Angreifer viele Ziele für eine Phishing-Kampagne bieten.

Wie hoch ist Risiko einer Exposition?

GitHub hostet eine Fundgrube von Quellcodes für Organisationen. Ein erfolgreicher Phishing-Angriff gewährt Cyberkriminellen vollen Zugriff auf das Konto eines Benutzers und ermöglicht ihnen verschiedene Aktionen wie das Ausnutzen von Schwachstellen, Erpressung, finanziellen Gewinn und vieles mehr. Dadurch laufen Benutzer und Organisationen Gefahr, Ressourcen zu verlieren und böswillige Akteure haben Zugriff darauf, um nicht autorisierte Zugangsdaten in dem kompromittierten Konto zu erstellen, auch nach dem Zurücksetzen des Passworts, einschließlich  der Authentifizierung über PATs, OAuth-Apps und SSH-Schlüsseln (Secure Shell).

Welche Empfehlungen haben Sie?

Barracuda empfiehlt die folgenden Maßnahmen, um die Auswirkungen dieser Art Phishing-Angriff einzuschränken:

  • Implementieren Sie E-Mail-Schutz, um Phishing-Bedrohungen proaktiv zu verhindern.
  • Setzen Sie Ihr Benutzerkonto-Passwort und die 2FA-Wiederherstellungscodes zurück.
  • Überprüfen Sie Ihre persönlichen Zugangstoken.
  • Verwenden Sie gegebenenfalls einen Hardware-MFA-Schlüssel.
  • Lesen Sie die GitHub-Dokumentation „Preventing unauthorized access“ (Unbefugten Zugriff verhindern). https://discuss.circleci.com/t/circleci-security-alert-warning-phishing-attempt-for-login-credentials/45408
  • Melden Sie falsche E-Mail-Domains, einschließlich: „circle-ci[.]com“, „emails-circleci[.]com“, „circle-cl[.]com“ und „email-circleci[.]com“.

Referenzen

Ausführlichere Informationen zu den Empfehlungen finden Sie unter den folgenden Links:



Matthew Russo

Matthew ist Cybersecurity-Analyst bei Barracuda MSP. Er arbeitet innerhalb unseres Security Operations Center als Security-Experte in unserem Blue Team. Matthew unterstützt unsere XDR-Servicebereitstellung und ist hochqualifiziert darin, Sicherheitsereignisse zu analysieren, um Cyberbedrohungen zu erkennen und unsere Partner und deren Kunden zu schützen.  Verbinde dich mit ihm auf LinkedIn hier.

Verwandte Beiträge:
Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 Die wichtigsten Bedrohungsakteure im August: Ransomware, Spionage und Infostealer
Die wichtigsten Bedrohungsakteure im August: Ransomware, Spionage und Infostealer
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.