Организация Rust Foundation предупредила разработчиков о выявлении фишинговой атаки против пользователей репозитория crates.io. Атака напоминает наблюдаемые последние месяцев попытки компрометации учётных записей в сервисах NPM, PyPI и Mozilla AMO для последующей публикации релизов, содержащих вредоносный код. Сведений об успешном захвате учётных данных в ходе атаки пока нет.
По информации OpenNET и согласно пояснению Rust Foundation, сопровождающие пакеты в каталоге crates.io стали получать письма, стилизованные под уведомления от crates.io с предупреждением о компрометации инфраструктуры проекта и получении атакующими доступа к данным пользователей. В качестве временной меры для блокирования возможности внесения атакующими изменений в пакеты предлагалось изменить свои учётные данные через форму, пройдя аутентификацию через внутреннюю систему единого входа (SSO).
Ссылки злоумышленников в письме вели на сайт «rustfoundation.dev», не связанный с проектом Rust. После перехода по ссылке открывалась страница «github.rustfoundation.dev/login» для аутентификации через GitHub, нацеленная на перехват учётных данных для подключения к проекту на GitHub. Содержимое сайта rustfoundation.dev генерировалось через проксирование запросов к github.com. То есть этот сайт полностью повторял github.com, а атакующие могли перехватить передаваемые параметры входа и двухфакторной аутентификации.
Источник: habr.com