Falso alerta de segurança no GitHub utiliza aplicativo OAuth para sequestrar contas

Uma nova campanha de phishing está enganando usuários do GitHub ao exibir um aviso de tentativa de acesso incomum, supostamente originado de Reykjavik, na Islândia, a partir do endereço IP 53.253.117.8.

A mensagem fraudulenta sugere que o usuário atualize sua senha, revise sessões ativas e ative a autenticação de dois fatores, fornecendo links para essas ações. No entanto, todos os links direcionam a uma única página de autorização do GitHub para um aplicativo OAuth chamado “gitsecurityapp”, que solicita permissões amplas e arriscadas, concedendo ao invasor controle total sobre a conta e os repositórios da vítima.

Até o momento, foram identificados 12 mil repositórios como alvos do ataque.

Usuários afetados devem revogar imediatamente as permissões concedidas ao aplicativo OAuth, além de rotacionar credenciais e tokens de autenticação e verificar atividades suspeitas na conta.

As permissões solicitadas pelo aplicativo incluem:

• repo: acesso total a repositórios públicos e privados.
• user: permissão para leitura e escrita no perfil do usuário.
• read:org: leitura de informações sobre organizações, projetos e equipes.
• read:discussion, write:discussion: acesso para leitura e escrita em discussões.
• gist: permissão para acessar gists do GitHub.
• delete_repo: permissão para excluir repositórios.
• workflows, workflow, write:workflow, read:workflow, update:workflow: controle sobre workflows do GitHub Actions.