9月26日消息，GitHub警告称，有网络钓鱼活动冒充CircleCI DevOps平台，瞄准GitHub用户窃取证书和双因素身份验证（2FA）代码。

GitHub自9月16日发现该活动，钓鱼信息声称用户的CircleCI会话已过期，试图引导用户使用GitHub凭据登录。

点击钓鱼链接会跳转到一个类似GitHub登录页面的钓鱼网站，用户输入任何凭据都会被窃取用户输入的任何凭证。对于启用了基于TOTP的双因素认证（2FA）的用户，钓鱼网站还会将TOTP代码实时转发给威胁行为者和GitHub，以便威胁行为者侵入账户。GitHub指出，受硬件安全密钥保护的帐户不容易受到这种攻击。

在攻击者使用的策略是，快速创建GitHub个人访问令牌（pat），授权OAuth应用程序，或向帐户添加SSH密钥，以便在用户更改密码时保持对帐户的访问。

在其他情况下，攻击者使用VPN或代理供应商，立即下载受害用户的私有存储库内容，包括组织帐户和其他合作者拥有的内容。

如果被破坏的帐户拥有组织管理权限，攻击者可能会创建新的GitHub用户帐户，并将其添加到组织中，以方便后续访问和威胁活动。

以下是此次活动中使用的网络钓鱼域名列表:

circle-ci[.com

emails-circleci[.]com

circle-cl[.]com

email-circleci[.]com

“在进行分析后，我们为受影响的用户重置了密码并删除了威胁行为者添加的凭证，我们还通知了所有受影响用户和组织。”GitHub公告称，“已封禁所有已知的威胁行为者账户，我们将继续监测恶意活动并及时通知受影响用户。”

参考链接：

https://securityaffairs.co/wordpress/136211/hacking/phishing-circleci-github-accounts.html