گیتهاب به کاربران هشدار داده است که در یک پویش فیشینگ پیشرفتهای که این شرکت آن را Sawfish نامیده است، هدف قرار گرفتهاند. بهگفتهی این شرکت، بسیاری از کاربران آن ایمیلهای فیشینگی دریافت کردهاند که ادعا میکند فعالیت غیرمجاز آنها را شناسایی کرده و یا تغییری در حساب کاربری آنها ایجاد شده است. لینکهای موجود در این ایمیلها کاربر را به یک صفحهی ورود جعلی گیتهاب هدایت میکنند تا نام کاربری و گذرواژه قربانی را به دست آورند و آنها را برای مهاجمان ارسال کنند.
گیتهاب خاطرنشان کرد که این پویش فیشینگ جنبههای قابل توجهی دارد. بهعنوان مثال، صفحهی فیشینگ به کاربرانی که از احراز هویت دو مرحلهای برای محافظت از حساب خود استفاده میکنند، دستور میدهد تا کد تولیدشده توسط برنامهی گذرواژهی یک بار مصرف خود را در آن وارد کنند. این کار به مهاجمان اجازه میدهد تا به حسابهای محافظتشده با این نوع سیستم نفوذ کند، اما این شرکت بیان میکند که کاربرانی که از کلیدهای امنیتی سختافزاری استفاده میکنند، آسیبپذیر نیستند.
گیتهاب همچنین بیان کرد که این ایمیلهای فیشینگ اغلب از دامنههای قانونی که در معرض خطر قرار گرفتهاند، ارسال میشود و این حملات اغلب کاربران فعالی را هدف قرار میدهند که برای شرکتهای فناوری در کشورهای مختلف کار میکنند. این کاربران ظاهراً از روی آدرسهای ایمیلی که برای انجام کارهای عمومی خود استفاده کردهاند، هدف قرار گرفتهاند.
مهاجمان همچنین از خدمات کوتاه کردن آدرس اینترنتی استفاده میکنند تا مقصد نهایی لینکهای موجود در ایمیلهای فیشینگ را مخفی کنند و در برخی موارد قبل از هدایت به صفحهی فیشینگ، به یک وبگاه قانونی آسیبدیده هدایت میکنند.
یتهاب بیان کرد که در بسیاری از موارد، مهاجم بلافاصله محتواهای مخازن خصوصی قابل دسترس کاربران آسیبدیده ازجمله مخازن متعلق به حسابهای سازمانی را بارگیری میکند.
به کاربرانی که معتقدند قربانی این حمله شدهاند، توصیه شده است تا بلافاصله گذرواژهی خود و کدهای بازیابی دو مرحلهای را مجدداً تنظیم کنند، توکنهای دسترسی خود بررسی کنند و اقدامات دیگری برای امن کردن حساب خود انجام دهند.
علاوهبر کلیدهای امنیتی سختافزاری یا WebAuthn 2FA، کاربران میتوانند با استفاده از مدیرهای گذرواژه که بهطور خودکار گذرواژهی آنها را در دامنههای قانونی وارد میکند، از خود محافظت کنند.
فهرست دامنههای فیشینگ شناساییشده توسط گیتهاب شامل git-hub.co، githb.co، glthub.net، glthubs.com و corp-github.com است. گیتهاب از کاربرانی که در پویش Sawfish هدف قرار گرفتهاند خواسته است تا اطلاعات مربوط به فرستندهی ایمیل و دامنهای که صفحهی فیشینگ را میزبانی میکند، به این شرکت ارائه دهند. گیتهاب معتقد است که مهاجمان احتمالاً راهاندازی دامنههای فیشینگ جدید را ادامه خواهند داد.
گیتهاب هنوز هیچ اطلاعاتی دربارهی اینکه چه کسی پشت این حمله است، به اشتراک نگذاشته است.