Notebook mit geöffneter GitHub-Webseite
Notebook mit geöffneter GitHub-Webseite
Bildquelle: postmodernstudio, Lizenz

GitHub: Hacker übernehmen Konten trotz 2FA

Hacker nutzen betrügerische E-Mails im Namen von CircleCI, um GitHub-Konten zu übernehmen. Auch 2FA schützt nicht vor dem Angriff.

Durch gefälschte E-Mails von der Continuous-Integration-Plattform CircleCI sowie eine betrügerische Login-Seite greifen Hacker Anmeldeinformationen zahlreicher GitHub-Benutzer ab. Die Angreifer haben es dabei auf private Repositorys abgesehen. GitHub hat bereits einige Sicherheitsmaßnahmen ergriffen und betroffene Anwender benachrichtigt.

Vermeintliche CircleCI-Mails locken GitHub-Anwender auf Phishing-Seite

Die Sicherheitsabteilung der Quellcodeverwaltungsplattform GitHub hat eine Warnung geteilt, in der sie auf eine laufende Phishing-Kampagne hinweist, durch die Angreifer versuchen, Anmeldeinformationen von Benutzern der Plattform abzugreifen.

Dabei nutzen die Hacker gefälschte E-Mails, die vorgeben, von CircleCI, einer beliebten Continuous-Integration-Plattform, zu stammen. Unter dem Vorwand, die Nutzungsbedingungen und Datenschutzrichtlinien haben sich geändert, animieren sie ihre Opfer, sich mit ihrem GitHub-Konto auf einer betrügerischen Webseite anzumelden. Dort sollen die Anwender die Änderungen akzeptieren, da sie den Dienst sonst nicht weiter nutzen können.

In einer Stellungnahme weist CircleCI darauf hin, dass das Unternehmen von seinen Nutzern nicht verlangt, „dass sie sich anmelden, um Aktualisierungen unserer Nutzungsbedingungen zu überprüfen.“ Außerdem enthalten die Phishing-Versuche Links, die auf verschiedene Domains verweisen, die dem Unternehmen nicht gehören. Nur Links zu „circleci.com“ oder dessen Subdomains seien sicher.

Laut dem Bericht von GitHub Security sind bisher folgende Domains zum Einsatz gekommen:

  • circle-ci[.]com
  • emails-circleci[.]com
  • circle-cl[.]com
  • email-circleci[.]com

Angreifer laden nach dem Login private Repositorys herunter

GitHub teilte mit, dass es selbst nicht direkt betroffen war. Jedoch habe sich die Kampagne bereits auf viele Opferorganisationen ausgewirkt. Benutzer, die auf den Link in der E-Mail klicken, landen demnach auf einer gefälschten Anmeldeseite, die aussieht wie das Original von GitHub. Doch wer sich dort einloggt, übergibt seine Anmeldedaten an die Angreifer. Selbst TOTP-Codes einer aktiven Zwei-Faktor-Authentifizierung (2FA) leitet die Phishing-Seite in Echtzeit an ihre Schöpfer weiter. Infolgedessen können diese die volle Kontrolle über das Benutzerkonto übernehmen. Einzig eine Absicherung durch einen Hardware-Sicherheitsschlüssel sei für diesen Angriff nicht anfällig.

Hat ein Angreifer schließlich Zugriff auf das Konto seines Opfers, so „kann er schnell persönliche GitHub-Zugangstoken (PATs) erstellen, OAuth-Anwendungen autorisieren oder SSH-Schlüssel zum Konto hinzufügen, um den Zugang zu erhalten, falls der Benutzer sein Passwort ändert.“ Der Download sämtlicher privater Repository-Inhalte über einen VPN- oder Proxy-Anbieter sei in vielen Fällen der nächste Schritt, den die Hacker vollziehen. „Einschließlich solcher, die sich im Besitz von Organisationskonten und anderen Mitarbeitern befinden.

Welch brisante Ausmaße ein solcher Angriff annehmen kann, zeigte uns bereits im Jahr 2020 die Hackergruppe Shiny Hunters. Diese konnte damals 500 GB an Daten aus privaten Repositorys von Microsoft erbeuten. Ebenso wie zahlreiche Datenschätze von zehn weiteren Firmen.

GitHub hat bereits Maßnahmen ergriffen – und das sollten Anwender auch tun

GitHub habe schließlich einige Benutzerkonten gesperrt, bei denen ein Zusammenhang mit den Betrugsfällen erkennbar war. Außerdem habe die Plattform die Passwörter einiger Nutzer zurückgesetzt und diese über den Vorfall benachrichtigt, um die Sicherheit betroffener Konten zu gewährleisten.

Wer bisher keine Benachrichtigung von GitHub erhalten hat und dennoch davon ausgeht, Opfer der Phishing-Kampange zu sein, dem sei dingend angeraten, sein Passwort zu ändern, seine 2FA-Wiederherstellungscodes zurückzusetzen und seine persönlichen Zugangstoken zu überprüfen. Das Unternehmen empfiehlt außerdem, einen Hardware-Sicherheitsschlüssel zu verwenden, um sich auch in Zukunft vor Angriffen dieser Art zu schützen.

Über

Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.