15 минут, чтобы украсть год вашей работы: GitPhish превращает обычный фишинг в искусство

Ваша CI/CD-цепочка крепче бетона? Спойлер: нет. Всё, что нужно — Device Code и хороший сторителлинг.


one50i7xn21u0e0i4wcx87aahcdpsnsb.jpg


Две недели назад исследователи опубликовали материалы, посвящённые уязвимости GitHub Device Code Phishing — методу социальной инженерии, который при должном подходе позволяет всего за восемь цифр и телефонный звонок получить полный контроль над репозиториями компании в GitHub и взломать её цепочку поставок программного обеспечения.

На первый взгляд сама идея кажется простой, однако её реализация на практике требует серьёзной подготовки. Атаки этого типа сопровождаются рядом сложностей: необходимо создать убедительную легенду, оперативно управлять краткосрочными токенами и укладываться в 15-минутное окно, отведённое для завершения авторизации.

Чтобы устранить эти трудности и повысить эффективность атак имитационного характера, специалисты разработали GitPhish — инструмент, который автоматизирует процесс фишинга по схеме GitHub Device Code и устраняет большинство операционных ограничений. Сегодня проект открыт для сообщества и доступен на GitHub.

В основе атаки лежит эксплуатация механизма OAuth 2.0 Device Authorization Grant , широко известного как Device Code Flow. Этот протокол позволяет пользователю авторизоваться, введя специальный код на отдельном устройстве, например, в браузере. Однако у этой схемы есть временной лимит: после генерации пользовательского и устройственного кода у злоумышленника есть всего 15 минут, чтобы убедить жертву завершить процесс аутентификации.

Традиционный подход к такому фишингу требует постоянного взаимодействия с целью в реальном времени. Масштабировать атаку или подготовить её заранее практически невозможно. Попытки ускорить действия жертвы часто снижают достоверность сценария, что затрудняет работу специалистов по безопасности, проводящих тесты на устойчивость инфраструктуры.

GitPhish решает эти проблемы за счёт двух ключевых функций:

Профессиональные фишинговые страницы на GitHub Pages. Платформа полностью автоматизирует развертывание сайтов, визуально идентичных легитимным ресурсам GitHub. Такие страницы значительно повышают уровень доверия со стороны жертвы и пошагово проводят её через процесс авторизации по Device Code Flow.

Динамическая генерация кодов устройств. Система создаёт уникальные коды только в момент взаимодействия пользователя со страницей. Это означает, что обратный отсчёт 15-минутного окна начинается не тогда, когда злоумышленник отправляет ссылку, а когда жертва начинает выполнять действия, повышая гибкость и эффективность атаки.

Эта особенность особенно актуальна для красных команд и специалистов по тестированию безопасности, поскольку позволяет запускать фишинговые сценарии одновременно на нескольких целях, не опасаясь преждевременного истечения срока действия кодов.

Управление GitPhish возможно как через командную строку, так и посредством веб-интерфейса. В состав системы входят инструменты для ведения логов, аналитики и учёта выданных токенов. Такой подход позволяет оперативно отслеживать все этапы взаимодействия с целью и эффективно управлять процессом атаки.

Разработка GitPhish ориентирована исключительно на профессиональные команды кибербезопасности. Инструмент предназначен для оценки устойчивости организаций к фишинговым атакам с использованием Device Code Flow, а также для выработки механизмов раннего обнаружения подозрительных схем авторизации через OAuth.

Используя платформу, специалисты по безопасности могут симулировать реалистичные сценарии атак, проверять осведомлённость сотрудников, а инженеры по мониторингу — отрабатывать навыки выявления аномальных авторизаций в GitHub, подозрительных токенов и признаков социальной инженерии.

Установка GitPhish занимает считанные минуты. Для запуска требуется установленный Python и персональный токен GitHub. После клонирования репозитория достаточно выполнить стандартную команду pip install ., запустить дашборд и развернуть имитационную страницу за несколько кликов. В комплект входят подробные инструкции и практические примеры для тестов как красных команд, так и специалистов по обнаружению угроз.

Проект уже опубликован в открытом доступе на GitHub по адресу: https://github.com/praetorian-inc/GitPhish .

Тем, кто хочет глубже разобраться в работе инструмента, рекомендуется ознакомиться с вебинаром и демонстрацией GitPhish, где авторы наглядно показывают, как платформа применяется для оценки защищённости корпоративной инфраструктуры.

Для профессионалов, желающих системно изучить угрозы, связанные с цепочками поставок и современными CI/CD-инфраструктурами, команда разработчиков готовит отдельный тренинг на конференции BlackHat USA 2025. Курс под названием Pipeline to Pwn: Mastering Modern CI/CD Attack Chains пройдёт 2–3 и 4–5 августа.

В рамках обучения участники познакомятся с техниками атак на цепочки CI/CD, включая извлечение секретов из пайплайнов, эксплуатацию собственных раннеров и практическое освоение концепции PwnRequests. Программа построена вокруг реалистичных лабораторных заданий, охватывающих весь цикл атаки — от захвата токенов до полного компрометации инфраструктуры.

Курс также включает подробный разбор защитных механизмов и методов противодействия, позволяя участникам отработать не только наступательные приёмы, но и навыки защиты корпоративных систем.