Barracuda full logo

Avis sur les menaces de cybersécurité : des attaques par hameçonnage ciblent les comptes GitHub

Thèmes:
23 sept. 2022
|
Matthew Russo

GitHub a averti le public qu’une campagne de phishing en cours ciblait ses utilisateurs en se faisant passer pour la plateforme d’intégration et de livraison continue CircleCI. Ces attaques par hameçonnage visent à voler les identifiants et les codes d’authentification du compte utilisateur ciblé. Une attaque réussie donne aux pirates un accès complet au compte GitHub des victimes. Dans un récent avis, GitHub a recommandé à tous les utilisateurs de réinitialiser le mot de passe de leur compte et les codes de récupération de l’authentification à deux facteurs, de vérifier leurs jetons d’accès personnels et, si possible, d’utiliser une clé MFA (authentification multifacteur) matérielle.

Barracuda recommande également aux entreprises de mettre en œuvre une protection des e-mails afin de se défendre de manière proactive contre les menaces de phishing.

Détails techniques et informations supplémentaires

Nature de la menace

La nouvelle campagne de phishing est conçue pour voler des identifiants et des codes d’authentification pour les comptes GitHub. Pour qu’un compte soit piraté, l’utilisateur doit interagir avec la fausse page de connexion GitHub en saisissant ses identifiants ainsi que son code MFA. À ce jour, les seuls comptes GitHub non affectés par cette attaque sont ceux qui utilisent une clé MFA matérielle. Une fois l’attaque réussie, les acteurs malveillants transmettent les identifiants à l’aide de proxys inverses. Les proxys inverses sont des serveurs qui se trouvent généralement derrière un pare-feu dans un réseau privé et qui redirigent le trafic vers le serveur initialement demandé, offrant sécurité et anonymat. « Tous les e-mails provenant de CircleCI incluent uniquement des liens vers circleci.com ou ses sous-domaines », souligne l’avis de CircleCI. Les faux domaines de messagerie incluent « circle-ci[.]com », « emails-circleci[.]com », « circle-cl[.]com » et « email-circleci[.]com ».

Pourquoi est-ce important ?

GitHub est un service de développement logiciel et de contrôle de version très populaire utilisé par les entreprises. Les campagnes de phishing sont généralement envoyées à plusieurs utilisateurs, ce qui augmente le risque de compromission au sein d’une entreprise. Un service comme GitHub compte des millions d’utilisateurs inscrits, ce qui fournit aux attaquants de nombreuses cibles pour leurs campagnes de phishing.

Quel est le risque ou le degré d'exposition ?

GitHub héberge une quantité astronomique de codes source pour les entreprises. Un phishing réussi fournira aux acteurs malveillants un accès complet au compte de l’utilisateur et leur permettra de mener à bien diverses actions comme l’exploitation de vulnérabilités, le chantage, le gain monétaire et bien plus encore. Cela expose les utilisateurs et les entreprises au risque de perdre des ressources et permet aux acteurs malveillants de créer des identifiants non autorisés dans le compte compromis, même après une réinitialisation du mot de passe, y compris l’authentification à partir de jetons d’accès personnels, d’applications OAuth et de clés SSH (Secure Shell).

Quelles sont les recommandations ?

Barracuda recommande les mesures suivantes pour limiter l’impact de cette attaque par hameçonnage :

  • Mettez en œuvre une protection des e-mails pour lutter de manière proactive contre les menaces de phishing.
  • Réinitialisez le mot de passe de votre compte et les codes de récupération d’authentification à double facteur.
  • Vérifiez vos jetons d’accès personnel.
  • Si nécessaire, utilisez une clé MFA matérielle.
  • Consultez la documentation de GitHub « Empêcher l’accès non autorisé ». https://discuss.circleci.com/t/circleci-security-alert-warning-phishing-attempt-for-login-credentials/45408
  • Signalez tout faux domaine de messagerie, y compris : « circle-ci[.]com », « emails-circleci[.]com », « circle-cl[.]com » et « email-circleci[.]com ».

RÉFÉRENCES

Pour plus d'informations sur les recommandations, veuillez consulter les liens suivants :



Matthew Russo

Matthew est analyste en cybersécurité chez Barracuda MSP. Il est expert en sécurité et travaille pour notre Blue Team au sein de notre SOC. Matthew soutient notre prestation de services XDR et est hautement qualifié pour analyser les événements de sécurité afin de détecter les cybermenaces, contribuant ainsi à la protection de nos partenaires et de leurs clients. Connectez-vous avec lui sur LinkedIn ici.

Billets associés :
Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 Les principaux acteurs de la menace en août : ransomware, espionnage et voleurs d’informations
Les principaux acteurs de la menace en août : ransomware, espionnage et voleurs d’informations
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.