GitHub의 가짜 "보안 경고" 문제는 OAuth 앱을 사용하여 계정을 탈취합니다

요약	- 해외에서 12,000곳의 깃허브 리포지토리를 접근 계정을 겨냥한 대규모 사이버 공격이 최근 발생 - 깃허브의 다양한 인증 설정을 해제하도록 만들어진 가짜 OAuth 페이지로 유도
내용	- 해외에서 12,000개의 GitHub 리포지토리를 대상으로한 피싱 공격이 발생 > 가짜 보안 경고를 문제로 개발자를 속여 계정과 코드에 대한 전체 제어권 획득 시도 > Security Alert: Unusual Access Attempt > 특정 IP에서 비정상적인 활동이 발생했음을 경고 > 계정이 침해당했으며, 비밀번호를 변경하고 세션 검토 및 관리, 2단계 인증 활성화 안내 내용을 포함 - 깃허브의 다양한 인증 설정을 해제하도록 만들어진 가짜 OAuth 페이지로 유도 > 사용자가 로그인하여 악성 OAuth 앱을 인증하면 액세스 토큰이 생성되어 아래 URL로 전송 > URL : github-com-auth-secure-access-token.onrender[.]com > 공개 및 비공개 리포지토리 접근 및 삭제, 사용자 프로필 읽기 및 수정, 조직 멤버십 및 프로젝트 조회, 깃허브 지스트(Gist) 접근 등이 가능해짐 - 권고 > GitHub 설정에서 액세스 권한 취소 > 'gitsecurityapp'와 이름이 비슷한 GitHub 앱 또는 OAuth 앱에 대한 액세스 취소 > 의심스러운 GitHub Actions 존재 확인 및 비공개 gist 생성 여부 확인 > 자격 증명과 승인 토큰 변경 등
기타	- KISA 보호나라 관련 권고 > 깃허브 이용자가 의심스러운 상황을 인지한 경우 ①  패스워드 즉시 리셋 ② 이중인증 복구 코드 즉시 리셋 ③ 개인 액세스 토큰 안전성 검토 ④ 패스워드 자동 저장 기능 사용하지 않기 등 보안 강화 활동이 요구 > 피싱 공격발생에 대비한 활동으로 다음과 같은 방법 권고  o 해킹메일 예방 방법   - 발신자 주소를 정확히 확인하고 모르는 이메일 및 첨부파일은 열람 금지   - 이메일 첨부 파일 중 출처가 불분명한 파일 다운로드 자제   - 이메일 내부 클릭을 유도하는 링크는 일단 의심하고 연결된 사이트 주소 정상 사이트 여부를 반드시 확인  o 피싱 · 스미싱 예방 방법   - 출처가 불분명한 사이트 주소는 클릭을 자제하고 바로 삭제   - 휴대폰번호, 아이디, 비밀번호 등 개인정보는 신뢰된 사이트에만 입력하고 인증번호의 경우 모바일 결제로 연계될 수 있으므로 한 번 더 확인  o PC 및 스마트폰 보안 강화   - 운영체제 및 자주 사용하는 문서 프로그램(hwp, doc 등)에 대해 최신 업데이트 수행   - 바이러스 백신 업데이트 및 수시 검사 □ 침해사고 신고  o 'KISA 인터넷 보호나라&KrCERT' 홈페이지(http://www.boho.or[.]kr) → 상담및신고 → 해킹 사고 신고

 

보안뉴스

Fake "Security Alert" issues on GitHub use OAuth app to hijack accounts

KISA 보호나라&KrCERT/CC