105/68 (IT) ประจำวันอังคารที่ 18 มีนาคม 2568
นักพัฒนา GitHub กำลังตกเป็นเป้าหมายของแคมเปญฟิชชิ่งครั้งใหญ่ ซึ่งใช้ “การแจ้งเตือนความปลอดภัย” ปลอม เพื่อหลอกให้ผู้ใช้อนุมัติแอป OAuth ที่เป็นอันตราย โดยผู้โจมตีจะใช้ข้อความเตือนเกี่ยวกับ “การพยายามเข้าถึงที่ผิดปกติ” จากเมือง Reykjavik ประเทศไอซ์แลนด์ พร้อมระบุ IP ที่น่าสงสัยคือ 53.253.117.8 เพื่อสร้างความตื่นตระหนกให้ผู้ใช้รีบดำเนินการผ่านลิงก์ที่แนบมา เมื่อคลิกเข้าไป ผู้ใช้จะถูกนำไปยังหน้าการอนุญาตให้เข้าถึงแอป OAuth ชื่อ “gitsecurityapp” ซึ่งขอสิทธิ์เข้าถึงข้อมูลสำคัญ เช่น การอ่านและเขียนโค้ด ลบที่เก็บข้อมูล ควบคุม GitHub Actions และเข้าถึงข้อมูลผู้ใช้ทั้งหมด
หากนักพัฒนาเผลอยืนยันสิทธิ์ แอปอันตรายนี้จะได้รับโทเค็นเข้าถึงบัญชีของพวกเขา และส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ที่โฮสต์บนแพลตฟอร์ม Render จากการตรวจสอบพบว่าแคมเปญฟิชชิ่งนี้เริ่มต้นเมื่อเวลา 6:52 น. ET และยังคงดำเนินต่อไป โดยมีที่เก็บข้อมูลเกือบ 12,000 แห่งที่ได้รับผลกระทบ ซึ่ง GitHub คาดว่าน่าจะกำลังดำเนินมาตรการตอบโต้ อย่างไรก็ตาม นักพัฒนาที่ยังไม่ได้ตรวจสอบบัญชีของตนเองอาจเสี่ยงต่อการถูกโจมตีเพิ่มเติม
ผู้ใช้ที่อาจได้รับผลกระทบควรดำเนินการโดยด่วน ได้แก่ เพิกถอนการเข้าถึงแอป OAuth ที่น่าสงสัยผ่านการตั้งค่า GitHub ตรวจสอบ GitHub Actions หรือ gist ที่ไม่คุ้นเคย และเปลี่ยนแปลงข้อมูลประจำตัวและโทเค็นของตนเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต ทั้งนี้ ผู้เชี่ยวชาญเตือนว่าการโจมตีรูปแบบนี้อาจเกิดขึ้นอีกในอนาคต นักพัฒนาจึงควรระมัดระวังเมื่อได้รับการแจ้งเตือนความปลอดภัยที่ดูผิดปกติ
