Un ataque de phishing ha afectado a casi 12.000 repositorios en GitHub, publicando falsas alertas de seguridad para engañar a los desarrolladores y hacer que autoricen una aplicación maliciosa OAuth, otorgando así control total sobre sus cuentas y código.
¿Cómo funciona el ataque contra Github?
Los atacantes crean issues falsas en repositorios GitHub con el siguiente mensaje:
“Security Alert: Unusual Access Attempt”
“Hemos detectado un intento de inicio de sesión en tu cuenta de GitHub desde una ubicación o dispositivo desconocido.”
Todas las alertas falsas mencionan actividad sospechosa desde Reikiavik, Islandia (IP 53.253.117.8) e incluyen enlaces para:
✅ Cambiar la contraseña
✅ Revisar sesiones activas
✅ Habilitar autenticación en dos pasos
Sin embargo, todos los enlaces redirigen a una página de autorización OAuth para una aplicación maliciosa llamada ‘gitsecurityapp’ que solicita permisos peligrosos.
Permisos que Otorga la App Maliciosa ⚠️
Si un usuario otorga acceso a la app OAuth, los atacantes obtienen control total sobre la cuenta y repositorios:
- repo → Acceso total a repositorios públicos y privados
- user → Lectura y escritura del perfil de usuario
- read:org → Acceso a información de organizaciones y equipos
- read:discussion, write:discussion → Control sobre discusiones
- gist → Acceso a Gists de GitHub
- ️ delete_repo → Permiso para eliminar repositorios
- ⚙️ workflow, write:workflow → Control sobre GitHub Actions
Una vez autorizado, GitHub genera un token de acceso y lo envía a un servidor malicioso alojado en onrender.com.
Estado del Ataque
Inició: 16 de marzo, 6:52 AM ET
Repositorios afectados: +12.000 repositorios (GitHub está eliminando algunos)
Investigador: Luc4m
¿Cómo protegerse?
Si caíste en este ataque, sigue estos pasos inmediatamente:
1️⃣ Revoca la app maliciosa:
- Ve a GitHub Settings > Applications
- Busca y revoca cualquier app OAuth sospechosa (ej. ‘gitsecurityapp’)
2️⃣ Revisa cambios en tu cuenta:
- Verifica si se han creado GitHub Actions nuevas o inusuales
- Revisa si hay nuevos Gists privados
3️⃣ Rota tus credenciales:
- Cambia contraseñas y tokens de autenticación
- Habilita autenticación en dos pasos (2FA)
GitHub en Alerta
GitHub ya está eliminando algunos de estos issues falsos y se espera una respuesta oficial. ¡No autorices ninguna app OAuth sospechosa y mantente alerta!