全新釣魚郵件手法？駭客假冒GitHub官方通知竊取開發者帳密

駭客利用GitHub官方的通知機制作為掩護，向開發者和IT人員發送看似真實的惡意內容。記者孫敬／編譯

近期，資安研究人員揭露了精密的新型網路釣魚活動，駭客利用GitHub官方的通知機制作為掩護，向開發者和IT人員發送看似真實的惡意內容。

受害者收到的郵件警告，不論是儲存庫更新、程式碼提交訊息，還是協作者變動通知，都與真實郵件非常相似。然而，仔細檢查郵件地址，就會發現寄件人地址已被竄改，內含的連結也經過多層混淆。

延伸閱讀：駭客利用合法Oracle資料庫功能 繞過資安防護植入勒索軟體

[caption id="attachment_193277" align="aligncenter" width="2400"]

GitHub官方通知機制被駭客拿來利用。（圖／GitHub）[/caption]

從Webhook漏洞看惡意軟體如何植入

這波攻擊的精巧之處在於，它能成功規避許多企業的電子郵件安全閘道，這也導致多位開源專案維護者及技術人員的帳密遭到外洩。最初的警訊來自於多名專案維護者回報，他們在沒有任何操作的情況下，帳號卻被重置密碼，或是儲存庫出現未經授權的分支。

根據資安團隊H4x0r.DZ的報告，這起攻擊是由一種特殊的惡意軟體所為，該軟體能截取GitHub的Webhook通知，並在其中植入釣魚內容。有別於傳統釣魚信件，這類惡意郵件竟然能保有有效的DKIM和SPF紀錄，這是因為駭客巧妙地利用了第三方GitHub應用程式的配置漏洞。

從Webhook漏洞到資料竊取

當收件人點擊郵件中的惡意連結時，會被導向一系列的短網址跳轉，最終抵達一個偽造的帳號憑證收集頁面。

對這些釣魚郵件進行分析後發現，駭客利用惡意軟體在GitHub通知模板中植入客製化的HTML表單。這個表單的action屬性會指向駭客控制的伺服器，並透過JavaScript程式碼將使用者輸入的帳密資料，經由AJAX POST請求即時回傳給攻擊者。

這起攻擊的核心感染媒介，是那些被入侵且擁有過度寬鬆Webhook權限的GitHub應用程式。駭客會首先鎖定那些允許外部應用程式訂閱的熱門儲存庫，並以一個看似合理的名稱註冊惡意應用程式。一旦成功，他們便能獲得事件訂閱權限並取得Webhook密鑰。

駭客的伺服器會使用此密鑰來驗證傳入的JSON負載（Payloads），接著在「Pusher」欄位中插入惡意HTML內容，最後再將修改後的通知轉發給GitHub的電子郵件服務。

當駭客成功獲取帳密後，便能進一步存取私人儲存庫、提升權限，並部署其他惡意軟體。

為了防範這類攻擊，企業和開發者應著重監控異常的Webhook註冊行為，定期審查應用程式的權限範圍，並檢查外發的電子郵件內容中是否有任何嵌入式表單。

資料來源：Cyber Security News

這篇文章 全新釣魚郵件手法？駭客假冒GitHub官方通知竊取開發者帳密 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。