Une nouvelle attaque par phishing cible actuellement les utilisateurs de GitHub en exploitant les notifications d’issues. L’attaquant crĂ©e une issue sur GitHub, y insĂšre des liens malveillants. Cela gĂ©nĂšre une notification par e-mail lĂ©gitime de GitHub, donnant l’impression qu’une tentative de connexion suspecte a Ă©tĂ© dĂ©tectĂ©e sur le compte de l’utilisateur.

mail reçu suite à la création d'une nouvelle "issue" sur un des mes repository Github

Ce type d'attaque par phishing est particuliĂšrement sournois car il exploite un mĂ©canisme lĂ©gitime de GitHub (les notifications d’issues) pour contourner les filtres de sĂ©curitĂ© traditionnels et inciter Ă  l’action par l'urgence d'une fausse alerte de sĂ©curitĂ©.

đŸ”„ Analyse de l'attaque :

  • L'attaquant crĂ©e une issue sur un dĂ©pĂŽt public en utilisant un titre alarmiste (ex: "Security Alert: Unusual Access Attempt").
  • GitHub envoie une notification e-mail authentique Ă  tous les abonnĂ©s du dĂ©pĂŽt, ce qui ajoute une lĂ©gitimitĂ© trompeuse au message.
  • L'issue contient un lien malveillant qui semble ĂȘtre une URL GitHub OAuth lĂ©gitime.
  • En cliquant et en autorisant l'application, la victime accorde un accĂšs Ă©tendu au compte GitHub, incluant :
    • Suppression de dĂ©pĂŽts (delete_repo) 🚹
    • Modification des workflows GitHub Actions (workflow, write:workflow, update:workflow) ⚠
    • Lecture et Ă©criture sur les discussions (read:discussion, write:discussion)
    • ContrĂŽle total sur les repositories privĂ©s et publics (repo).

🔗 Le lien malvaillant : 

https://github.com/login/oauth/authorize?client_id=[redacted]&redirect_uri=https://github-com-auth-secure-access-token.onrender.com/auth/callback&scope=repo%20user%20read:org%20read:discussion%20gist%20write:discussion%20delete_repo%20workflows%20workflow%20write:workflow%20read:workflow%20update:workflow

⚠ Impact potentiel :

  • Suppression ou exfiltration de code source.
  • CrĂ©ation de backdoors dans des repositories via des GitHub Actions malveillants.
  • Espionnage d’organisations GitHub privĂ©es.
  • Propagation d’attaques en ajoutant du code malveillant Ă  des dĂ©pĂŽts accessibles publiquement.

đŸ› ïž Les modifications apportĂ©es si vous cliquez :

L'issue créée

Voici les scopes OAuth GitHub, qui définissent les autorisations qu'un token ou une application peut avoir sur un compte ou une organisation GitHub :

  • repo : ContrĂŽle total des dĂ©pĂŽts privĂ©s.
  • user : AccĂšs en lecture aux informations du profil utilisateur.
  • read:org : AccĂšs en lecture aux informations d'organisation et aux Ă©quipes.
  • read:discussion : AccĂšs en lecture aux discussions.
  • gist : AccĂšs pour crĂ©er, lire et supprimer des Gists.
  • write:discussion : Permission pour crĂ©er et modifier des discussions.
  • delete_repo : Autorisation pour supprimer des dĂ©pĂŽts. ⚠
  • workflow : ContrĂŽle total sur les GitHub Actions workflows.
  • write:workflow : Permission pour crĂ©er et modifier des workflows GitHub Actions.
  • read:workflow : AccĂšs en lecture aux workflows.
  • update:workflow : Permission pour mettre Ă  jour des workflows.

Bref si vous cliquez vous donnez les clefs đŸ—ïž de votre compte Github Ă  l'attaquant.

✅ Mesures de protection :

  1. Vérifier la légitimité des notifications
    • Ne jamais cliquer sur un lien dans un email sans vĂ©rifier la source.
    • Se rendre directement sur GitHub et consulter la liste des issues.
  1. Vérifier les applications autorisées
    • Aller sur GitHub Settings > Applications
    • Dans "OAuth Applications", repĂ©rer toute application suspecte.
    • RĂ©voquer immĂ©diatement toute application inconnue.
  1. Activer l’authentification forte (2FA)
  1. Auditer les logs de sécurité
  1. Sensibiliser ses Ă©quipes
    • Partager l’information avec ses collĂšgues.
    • Mettre en place un process de signalement interne en cas de suspicion.

🛑 Que faire si vous avez cliquĂ© ?

  1. RĂ©voquer immĂ©diatement l’application malveillante via GitHub Applications.
  2. Changer son mot de passe GitHub (surtout si l’attaque a compromis votre compte).
  3. Activer le 2FA si ce n’est pas dĂ©jĂ  fait.
  4. Auditer les permissions et repositories pour voir s'il y a eu des modifications non autorisées.
  5. Informer GitHub Support pour qu'ils puissent rĂ©agir Ă  ce type d’attaque.

📱 Conclusion

Cette attaque illustre comment des mĂ©canismes lĂ©gitimes (les issues GitHub et OAuth) peuvent ĂȘtre dĂ©tournĂ©s Ă  des fins malveillantes. La vigilance et l’éducation sont essentielles pour Ă©viter ce genre de piĂšges. 🚀

Soyez prudents et sĂ©curisez vos comptes GitHub ! 🔐