L’article de Praetorian met en lumière une nouvelle technique de phishing exploitant le flux de code d’appareil OAuth2 de GitHub pour accéder aux comptes des utilisateurs et potentiellement compromettre la chaîne d’approvisionnement des organisations.
GitHub Device Code Phishing est une évolution des attaques similaires menées contre les environnements Microsoft. Les attaquants génèrent un code d’appareil via l’API OAuth de GitHub, puis utilisent des techniques de social engineering pour inciter les utilisateurs à autoriser l’accès, leur permettant ainsi de récupérer un jeton OAuth.
Ce type d’attaque permet aux cybercriminels d’exfiltrer des données sensibles, de compromettre les secrets des actions GitHub, et même d’exécuter du code sur des runners GitHub auto-hébergés. Praetorian a démontré l’efficacité de cette méthode lors de simulations d’attaques contre des entreprises du Fortune 500.
Praetorian partage des études de cas réelles où cette technique a été utilisée pour compromettre des organisations, soulignant l’efficacité de l’ingénierie sociale pour convaincre les développeurs de finaliser le flux de code d’appareil. Des outils comme GitPhish ont été développés pour automatiser ce processus à grande échelle, rendant ces attaques encore plus menaçantes.
L’article vise à sensibiliser la communauté à cette menace émergente et propose des stratégies de détection et de réponse pour aider les équipes de sécurité à se préparer face à ce type d’attaque.
🧠 TTP et IOC détecté
TTP
Phishing, OAuth2 Device Code Phishing, Social Engineering, Exfiltration of Sensitive Data, Compromise of GitHub Actions Secrets, Code Execution on Self-hosted GitHub Runners
🔗 Source originale : https://www.praetorian.com/blog/introducing-github-device-code-phishing/