
Avis sur les menaces de cybersécurité : des attaques par hameçonnage ciblent les comptes GitHub
GitHub a averti le public qu’une campagne de phishing en cours ciblait ses utilisateurs en se faisant passer pour la plateforme d’intégration et de livraison continue CircleCI. Ces attaques par hameçonnage visent à voler les identifiants et les codes d’authentification du compte utilisateur ciblé. Une attaque réussie donne aux pirates un accès complet au compte GitHub des victimes. Dans un récent avis, GitHub a recommandé à tous les utilisateurs de réinitialiser le mot de passe de leur compte et les codes de récupération de l’authentification à deux facteurs, de vérifier leurs jetons d’accès personnels et, si possible, d’utiliser une clé MFA (authentification multifacteur) matérielle.
Barracuda recommande également aux entreprises de mettre en œuvre une protection des e-mails afin de se défendre de manière proactive contre les menaces de phishing.
Détails techniques et informations supplémentaires
Nature de la menace
La nouvelle campagne de phishing est conçue pour voler des identifiants et des codes d’authentification pour les comptes GitHub. Pour qu’un compte soit piraté, l’utilisateur doit interagir avec la fausse page de connexion GitHub en saisissant ses identifiants ainsi que son code MFA. À ce jour, les seuls comptes GitHub non affectés par cette attaque sont ceux qui utilisent une clé MFA matérielle. Une fois l’attaque réussie, les acteurs malveillants transmettent les identifiants à l’aide de proxys inverses. Les proxys inverses sont des serveurs qui se trouvent généralement derrière un pare-feu dans un réseau privé et qui redirigent le trafic vers le serveur initialement demandé, offrant sécurité et anonymat. « Tous les e-mails provenant de CircleCI incluent uniquement des liens vers circleci.com ou ses sous-domaines », souligne l’avis de CircleCI. Les faux domaines de messagerie incluent « circle-ci[.]com », « emails-circleci[.]com », « circle-cl[.]com » et « email-circleci[.]com ».
Pourquoi est-ce important ?
GitHub est un service de développement logiciel et de contrôle de version très populaire utilisé par les entreprises. Les campagnes de phishing sont généralement envoyées à plusieurs utilisateurs, ce qui augmente le risque de compromission au sein d’une entreprise. Un service comme GitHub compte des millions d’utilisateurs inscrits, ce qui fournit aux attaquants de nombreuses cibles pour leurs campagnes de phishing.
Quel est le risque ou le degré d'exposition ?
GitHub héberge une quantité astronomique de codes source pour les entreprises. Un phishing réussi fournira aux acteurs malveillants un accès complet au compte de l’utilisateur et leur permettra de mener à bien diverses actions comme l’exploitation de vulnérabilités, le chantage, le gain monétaire et bien plus encore. Cela expose les utilisateurs et les entreprises au risque de perdre des ressources et permet aux acteurs malveillants de créer des identifiants non autorisés dans le compte compromis, même après une réinitialisation du mot de passe, y compris l’authentification à partir de jetons d’accès personnels, d’applications OAuth et de clés SSH (Secure Shell).
Quelles sont les recommandations ?
Barracuda recommande les mesures suivantes pour limiter l’impact de cette attaque par hameçonnage :
- Mettez en œuvre une protection des e-mails pour lutter de manière proactive contre les menaces de phishing.
- Réinitialisez le mot de passe de votre compte et les codes de récupération d’authentification à double facteur.
- Vérifiez vos jetons d’accès personnel.
- Si nécessaire, utilisez une clé MFA matérielle.
- Consultez la documentation de GitHub « Empêcher l’accès non autorisé ». https://discuss.circleci.com/t/circleci-security-alert-warning-phishing-attempt-for-login-credentials/45408
- Signalez tout faux domaine de messagerie, y compris : « circle-ci[.]com », « emails-circleci[.]com », « circle-cl[.]com » et « email-circleci[.]com ».
RÉFÉRENCES
Pour plus d'informations sur les recommandations, veuillez consulter les liens suivants :
- https://www.bleepingcomputer.com/news/security/hackers-stealing-github-accounts-using-fake-circleci-notifications/
- https://github.blog/2022-09-21-security-alert-new-phishing-campaign-targets-github-users/
- https://www.phishing.org/what-is-phishing
- https://www.nginx.com/resources/glossary/reverse-proxy-server/
- https://discuss.circleci.com/t/circleci-security-alert-warning-phishing-attempt-for-login-credentials/45408
- https://github.com/
- https://flare.systems/learn/resources/blog/preventing-identifying-source-code-leaks-a-flare-guide/

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter