Ontwikkelaarsplatform GitHub waarschuwt gebruikers voor een phishingaanval die naast gebruikersnaam en wachtwoord ook TOTP-codes voor tweefactorauthenticatie probeert te stelen. De aanval begint met een e-mail waarin wordt gesteld dat er verdachte activiteit met het GitHub-account van de gebruiker is gedetecteerd.

De link om deze activiteit te controleren wijst naar een phishingpagina, die op de inlogpagina van Github lijkt. Ingevoerde gebruikersnamen en wachtwoorden worden door de website naar de aanvallers gestuurd. Wanneer een gebruiker TOTP-gebaseerde tweefactorauthenticatie heeft ingeschakeld zal de phishingpagina hier ook om vragen en ingevoerde TOTP-codes in real-time naar de aanvaller doorsturen. Die kan zo op het account inloggen.

Volgens GitHub worden de phishingmails vanaf legitieme domeinen verstuurd via gecompromitteerde mailservers of gestolen API-credentials voor bulkmailproviders. Om de werkelijke bestemming van de link te verbergen maken de aanvallers gebruik van url-verkorters. Soms worden meerdere van deze url-verkorters aan elkaar gekoppeld. Ook gebruiken de aanvallers PHP-redirects op gecompromitteerde websites die naar de uiteindelijk phishingsite wijzen.

Zodra de aanval succesvol is creëren de aanvallers persoonlijke GitHub-toegangstokens of autoriseren OAuth-applicaties voor het account om zo toegang te behouden mocht de gebruiker zijn wachtwoord wijzigen. In veel gevallen downloaden de aanvallers de private repository content waar het slachtoffer toegang toe heeft.

GitHub adviseert om accounts via hardwarematige beveiligingssleutels of WebAuthn-tweefactorauthenticatie te beveiligen. Daarnaast wordt ook het gebruik van wachtwoordmanagers aangeraden en moeten gebruikers goed de url in de adresbalk controleren.