GitHub bildirishnomalaridan foydalanib yuborilayotgan fishing-hujumlar — dasturchi va administratorlar uchun ogohlantirish

So‘nggi haftalarda xavfsizlik tadqiqotchilari GitHub’ning rasmiy bildirishnoma mexanizmlaridan foydalanib amalga oshirilayotgan murakkab phishing hujumlarini aniqladi. Hujumchilar yuborgan xabarlar haqiqiy ko‘rinadi: unda commit yozuvlari va hamkorlar haqidagi yangilanishlar bo‘ladi, lekin xabar sarlavhalari va ichidagi havolalar aslida buzilgan yoki yashirilgan bo‘ladi. Shu sababli ko‘plab e-pochta filtrlaridan o‘tib ketib, dasturchilar va IT xodimlarining hisoblari buzilmoqda.

Hujum qanday ishlaydi?

Asosiy infektsiya vektori — GitHub Apps orqali o‘rnatilgan va noto‘g‘ri sozlangan webhook hisoblari. Hujumchi dastlab mashhur repozitoriyalarni aniqlab, u yerga tashqi App obuna bo‘ladigan push event’larini yo‘lga qo‘yadi. So‘ng App nomi ishonarli ko‘rinishda ro‘yxatdan o‘tadi, webhook secret’ni oladi va kelayotgan JSON payload’larni tekshirishga o‘tadi. Keyin hujumchi “pusher” maydoniga zararli HTML shaklini joylab, xabar GitHub’ning email xizmatiga yuborilganda — foydalanuvchiga jo‘natilgan bildirishnomada zararli forma ko‘rinadi. Bunday jarayon GitHub Apps va webhook’larni noto‘g‘ri boshqarish natijasida paydo bo‘ladi.

Nima uchun bu phishing odatdagidan farq qiladi?

Ushbu xabarlar ko‘pincha SPF va DKIM yozuvlarini o‘zida saqlab qoladi yoki sozlamalardagi kamchiliklardan foydalanib “to‘g‘ri” deb hisoblanadi — natijada elektron pochta filtrari ularni rad qilmaydi. Bundan tashqari, hujumchilar havolalarni bir nechta URL qisqartirgichlar orqali yo‘naltirib, oxir-oqibatda foydalanuvchi ma’lumotlarini yig‘uvchi sahifaga yetkazadi. Xabar matniga kiritilgan HTML forma esa foydalanuvchidan foydalanuvchi nomi va parolni kiritishni so‘rab, JavaScript yordamida kiritilgan ma’lumotlarni hujumchi serveriga yuboradi.

Nimalar xavf ostida?

Agar hujumchi sizning GitHub hisobingiz parolini qo‘lga kiritsa yoki repozitoriyalarga kirish imkoniga ega bo‘lsa, u shaxsiy repolarni o‘g‘irlashi, maxfiylar (secrets) va CI/CD konfiguratsiyalarini o‘zgartirishi, yangi zararli ishchi oqimlar (workflows) yaratishi va yomon niyatli kodni tarqatishi mumkin. Bunday holatlar ishlab chiqish jarayonlari va butun infra­tu­zilma xavfsizligiga jiddiy xavf tug‘diradi.

Qanday aniqlash va himoya qilish kerak? (Amaliy tavsiyalar)

  1. Webhook va GitHub App’larni muntazam tekshiring. Qaysi App’lar qaysi repozitoriyalarga obuna ekanini va ularning ruxsat doiralarini (permission scopes) tekshirib chiqing; keraksiz App’larni o‘chirib tashlang. GitHub Docs
  2. Webhook secret’larini va audit log’larni kuzating. Noto‘g‘ri yoki kutilmagan payload o‘zgartirishlarini aniqlash uchun kiruvchi JSON’larni va tranzaksiyalarni monitoring qiling. Hoplon InfoSec
  3. E-pochta tarkibini tekshirish va outbound scanning. Tashqi email gateway’lar yordamida GitHub’dan kelayotgan bildirishnomalardagi ichiga joylashtirilgan HTML kod va forma elementlarini filtrlang. Kerak bo‘lsa, xabarlarni tekst rejimiga o‘tkazing. Cyber Security News
  4. Phishing-resistant MFA joriy qiling. Barcha developer va administrator hisoblarida parolga qarshi mustahkam, phishingga chidamli ikkita omilli autentifikatsiyani (masalan, FIDO2) majburiy qiling. cisa.gov
  5. Rasmiy manbalardan utilitalarni yuklang. Administratorlar va dasturchilarga rasmiy saytlardan yoki tasdiqlangan paket manbalaridan tashqari joylardan dastur yuklanmasligini maslahat bering. Qidiruv natijalari orqali topilgan “ishonchli” sahifalarga aldanmang.

GitHub bildirishnomalari va webhook mexanizmlari hujjatlash va hamkorlik uchun juda qulay — lekin aynan shu qulaylik hujumchilar tomonidan manipulyatsiya qilinishi mumkin. Hujumchilarning yangi uslublari: qonuniy tizim elementlaridan foydalanish, DKIM/SPF’dan o‘tish va webhook payload’larini o‘zgartirish orqali an’anaviy filtrlardan chetlab o‘tishdir. Tashkilotlar bu yangi tahdidga qarshi — webhook boshqaruvi, qattiq ruxsat siyosatlari, eksport/pochta tarkibini tekshirish va mustahkam MFA orqali javob qaytarishlari lozim. Ehtiyot choralarini ko‘rgan tashkilotlar bu turdagi kampaniyalarning zararini sezilarli darajada kamaytirishi mumkin.