El ataque gira en torno a notificaciones de CircleCI falsificadas que instan a los usuarios a aceptar los términos de uso y la política de privacidad actualizados. GitHub alerta a los usuarios de una campaña de phishing activa.
GitHub ha notificado a sus usuarios sobre una campaña de phishing activa desde el 16 de septiembre. El cebo en la aparentemente persuasiva campaña de phishing es un correo electrónico que imita las notificaciones de la plataforma de integración y entrega continua CircleCI.
Específicamente, el correo electrónico falso obliga a los destinatarios a aceptar los «términos de usuario y la política de privacidad» actualizados iniciando sesión en sus cuentas de GitHub nuevamente a través de CircleCI.
GitHub alerta a los usuarios de una campaña de phishing activa
“Como parte de nuestra integración con GitHub, estamos actualizando nuestros Términos de uso y Política de privacidad. Esto es para brindar una mayor transparencia sobre cómo CircleCI usa su información, así como también cómo se usan las cookies para que nuestros servicios sean más convenientes y efectivos”. Esto es lo que dice el correo electrónico.
Al transmitir credenciales a través de proxies inversos, los actores de amenazas intentaron robar las credenciales de la cuenta de GitHub. Esto incluye los códigos de autenticación de doble factor (2FA).
Sin embargo, las cuentas aseguradas de GitHub protegidas con claves de seguridad de hardware para autenticación multifactor (MFA) no son susceptibles al ataque. “Si bien GitHub en sí no se vio afectado, la campaña ha impactado a muchas organizaciones de víctimas”, informó GitHub en un aviso hace unos días.
Corroborando la alerta de GitHub, CircleCI acudió a sus foros para advertir a los usuarios que la plataforma nunca les pediría que ingresaran sus credenciales para ver los cambios en sus términos de servicio.
“Cualquier correo electrónico de CircleCI solo debe incluir enlaces a circleci.com o sus subdominios”, declaró CircleCI en su aviso.