Dropbox 揭露了有關攻擊者獲得對 GitHub 上託管的 130 個私有儲存庫的存取權限的事件的資訊。 據稱,受損的儲存庫包含根據 Dropbox 的需求修改的現有開源庫的分支、一些內部原型以及安全團隊使用的實用程式和設定檔。 這次攻擊並未影響包含基本應用程式和關鍵基礎設施元素程式碼的儲存庫,這些程式碼是單獨開發的。 分析表明,此次攻擊並未導致用戶群洩漏或基礎設施受損。
由於攔截了一名成為網路釣魚受害者的員工的憑證,因此獲得了對儲存庫的存取權限。 攻擊者以 CircleCI 持續整合系統的警告為幌子,向員工發送了一封信,要求其確認同意服務規則的變更。 電子郵件中的連結指向一個類似 CircleCI 介面的虛假網站。 登入頁面要求輸入來自 GitHub 的使用者名稱和密碼,並使用硬體金鑰產生一次性密碼以通過兩步驟驗證。
來源: opennet.ru