GoIssue: новый киберкошмар для разработчиков

Исследователи в области кибербезопасности бьют тревогу из-за нового инструмента GoIssue, разработанного для массовых фишинговых атак на пользователей GitHub. Инструмент впервые появился в августе 2024 года на форуме Runion, где его рекламировал киберпреступник под псевдонимом cyberdluffy (также известен как Cyber D’Luffy).

GoIssue позволяет злоумышленникам извлекать электронные адреса из публичных профилей GitHub и отправлять фишинговые сообщения прямо во входящие пользователям. По заявлению создателя, инструмент позволяет нацеливаться на разработчиков, обходя спам-фильтры и попадая напрямую в их почтовые ящики.

Компания SlashNext отмечает, что такой подход злоумышленников открывает новую эру целевых фишинговых атак, которые могут привести к краже исходного кода, компрометации цепочек поставок и взлому корпоративных сетей через учётные данные разработчиков.

Инструмент GoIssue продаётся в двух версиях: кастомная сборка стоит $700, а её исходный код — $3000. Однако, начиная с 11 октября 2024 года, цены были снижены до $150 и $1000 для первых пяти покупателей.

Пример возможной атаки включает перенаправление жертв на поддельные страницы, где похищаются логины и пароли, загружается вредоносное ПО или устанавливается ненадёжное OAuth-приложение для доступа к закрытым репозиториям.

Интересен и профиль cyberdluffy в Telegram, где он заявляет о членстве в Gitloker Team — группировке, ранее замеченной в вымогательских атаках на пользователей GitHub. Преступники отправляют ссылки через фишинговые письма, активируемые после упоминания аккаунтов разработчиков в спам-комментариях. Цель — заставить жертву предоставить доступ к приватным данным и впоследствии удалить все репозитории, оставив лишь записку с требованием выкупа.

Параллельно со SlashNext, специалисты из Perception Point выявили новую двухступенчатую фишинговую атаку, использующую файлы Microsoft Visio (.vsdx) и SharePoint для кражи данных. Письма с предложениями о сотрудничестве рассылаются с уже взломанных аккаунтов, что позволяет обойти системы защиты.

При переходе по ссылке из письма жертва попадает на страницу SharePoint с вложенным файлом Visio, ведущим на поддельную страницу входа в Microsoft 365. Такие многоступенчатые атаки становятся всё более распространёнными и используют доверие пользователей к известным платформам, чтобы обойти стандартные средства защиты.