Neue Phishing-Welle: GoIssue zielt auf GitHub-Entwickler ab

MÜNCHEN (IT BOLTWISE) – Eine neue Bedrohung in der Welt der Cybersicherheit hat die Aufmerksamkeit von Experten auf sich gezogen: Ein Phishing-Tool namens GoIssue, das speziell GitHub-Entwickler ins Visier nimmt.

In der sich ständig weiterentwickelnden Landschaft der Cybersicherheit ist ein neues Werkzeug aufgetaucht, das die Art und Weise, wie Phishing-Angriffe durchgeführt werden, verändern könnte. GoIssue, ein von einem Bedrohungsakteur namens cyberdluffy entwickeltes Tool, ermöglicht es Kriminellen, gezielt GitHub-Nutzer mit Phishing-E-Mails zu attackieren. Diese Software wurde erstmals im August auf einem Forum beworben und bietet die Möglichkeit, E-Mail-Adressen aus öffentlichen GitHub-Profilen zu extrahieren und Massen-E-Mails direkt an die Posteingänge der Nutzer zu senden.

Die Bedrohung durch GoIssue liegt nicht nur in der Fähigkeit, E-Mails in großen Mengen zu versenden, sondern auch in der Präzision, mit der es bestimmte Entwicklergemeinschaften anvisieren kann. Laut Experten von SlashNext könnte dies ein gefährlicher Wendepunkt in der Welt des Phishings sein, da es den Weg für Quellcode-Diebstahl, Angriffe auf die Lieferkette und Unternehmensnetzwerke ebnen könnte. Die Möglichkeit, maßgeschneiderte Massen-E-Mail-Kampagnen zu starten, die Spam-Filter umgehen, erhöht das Risiko erfolgreicher Angriffe erheblich.

Der Preis für eine maßgeschneiderte Version von GoIssue lag ursprünglich bei 700 US-Dollar, während der vollständige Quellcode für 3.000 US-Dollar erhältlich war. Doch seit dem 11. Oktober 2024 wurden die Preise auf 150 US-Dollar für die maßgeschneiderte Version und 1.000 US-Dollar für den Quellcode für die ersten fünf Kunden gesenkt. Diese Preissenkung könnte die Verbreitung des Tools weiter ankurbeln und die Bedrohungslage verschärfen.

Ein hypothetisches Angriffsszenario könnte so aussehen, dass ein Angreifer die Opfer auf gefälschte Seiten umleitet, die darauf abzielen, ihre Anmeldedaten zu erfassen, Malware herunterzuladen oder eine bösartige OAuth-App zu autorisieren, die Zugriff auf ihre privaten Repositories und Daten anfordert. Besonders gefährlich ist die Möglichkeit, dass Entwickler durch Unachtsamkeit einer solchen App alle angeforderten Berechtigungen erteilen, was zu einem vollständigen Verlust ihrer Repository-Inhalte führen könnte.

Ein weiteres bemerkenswertes Merkmal von cyberdluffy ist ihr Telegram-Profil, in dem sie behaupten, Mitglied des Gitloker-Teams zu sein. Gitloker wurde zuvor mit einer Erpressungskampagne in Verbindung gebracht, die sich gegen GitHub-Nutzer richtete. Dabei wurden Nutzer dazu verleitet, auf einen präparierten Link zu klicken, indem sie sich als Sicherheits- und Rekrutierungsteams von GitHub ausgaben. Diese Links wurden in E-Mails verschickt, die automatisch von GitHub ausgelöst wurden, nachdem Entwicklerkonten in Spam-Kommentaren auf zufälligen offenen Issues oder Pull-Requests markiert wurden.

Die Entwicklung von GoIssue fällt mit der Entdeckung eines neuen zweistufigen Phishing-Angriffs zusammen, der von Perception Point beschrieben wurde. Dieser Angriff nutzt Microsoft Visio (.vdsx)-Dateien und SharePoint, um Anmeldedaten zu stehlen. Die E-Mails tarnen sich als Geschäftsvorschlag und werden von zuvor kompromittierten E-Mail-Konten gesendet, um Authentifizierungsprüfungen zu umgehen. Das Klicken auf den bereitgestellten URL im E-Mail-Text oder in der angehängten .eml-Datei führt das Opfer zu einer Microsoft SharePoint-Seite, die eine Visio-Datei hostet.

Innerhalb der Visio-Datei befindet sich ein weiterer klickbarer Link, der das Opfer letztendlich zu einer gefälschten Microsoft 365-Anmeldeseite führt, mit dem Ziel, deren Anmeldedaten zu ernten. Solche zweistufigen Phishing-Angriffe, die vertrauenswürdige Plattformen und Dateiformate wie SharePoint und Visio nutzen, werden immer häufiger. Diese mehrschichtigen Umgehungstaktiken nutzen das Vertrauen der Nutzer in vertraute Werkzeuge aus, während sie gleichzeitig die Erkennung durch Standard-E-Mail-Sicherheitsplattformen umgehen.