![](https://s4.itho.me/sites/default/files/styles/picture_size_large/public/field/image/gpco0tsbiaa5_f7-156.jpg?itok=ErW9GR23)
根据资安新闻网站Bleeping Computer的报导,有人假冒GitHub资安及人力资源团队,通过恶意OAuth应用程序挟持代码存储库并进行破坏。
自今年2月,部分开发人员收到由[email protected]的电子邮件,这些信件的内容多半提及工作职缺,或者是资安警示。而在此之前,开发者会面临存储库的垃圾评论被标注,或是收到遭窃GitHub帐号的拉取请求等状况。有受害用户证实,他们的GitHub帐号疑似遭到投诉而被停用,并失去所有存储库的存取权限。
这起攻击行动最早是CronUp资安研究员Germán Fernández揭露,并指出自称是Gitlokers的人士佯装为GitHub团队,声称寄送数据遭窃的紧急通知,表示他们已保护备份数据。研究人员也公布对方使用的网域名称。
对方要求开发人员重新登录GitHub帐号,并提供OAuth应用程序授权,这些请求的权限涵盖私人存储库的存取、用户个资,以及删除这名用户管理的存储库。
值得留意的是,一旦开发人员上当,他们的存储库会遭到抹除,对方将其重命名并留下勒索消息README.me,要受害者依照指示通过Telegram来谈判、复原文件。