GitHub:cómo los tokens OAuth robados ayudaron a violar docenas de organizaciones

GitHub ha compartido una línea de tiempo de la brecha de seguridad de este mes cuando un actor de amenazas obtuvo acceso y robó repositorios privados pertenecientes a docenas de organizaciones.

El atacante usó tokens de la aplicación OAuth robados emitidos a Heroku y Travis-CI para violar las cuentas de los clientes de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta con integraciones autorizadas de la aplicación Heroku o Travis CI OAuth.

El director de seguridad de GitHub, Mike Hanley, dice que la compañía aún no ha encontrado evidencia de que sus sistemas hayan sido violados  desde que se descubrió el incidente por primera vez el 12 de abril de 2022 .

GitHub todavía está trabajando para alertar a todos los usuarios y organizaciones afectados, y la empresa está en proceso de enviar las notificaciones finales a los usuarios afectados de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta a partir de hoy.

Un análisis del comportamiento del atacante, mientras tenía acceso a cuentas de Github comprometidas, muestra que se llevaron a cabo las siguientes actividades en No tienes permitido ver los links. Registrarse o Entrar a mi cuenta utilizando los tokens de la aplicación OAuth robados:

1. El atacante se autenticó en la API de GitHub utilizando los tokens de OAuth robados emitidos a Heroku y Travis CI.
2. Para la mayoría de las personas que tenían autorizadas las aplicaciones Heroku o Travis CI OAuth afectadas en sus cuentas de GitHub, el atacante enumeró todas las organizaciones del usuario.
3. Luego, el atacante eligió selectivamente los objetivos en función de las organizaciones enumeradas.
4. El atacante enumeró los repositorios privados de las cuentas de usuario de interés.
5. Luego, el atacante procedió a clonar algunos de esos repositorios privados.

"Este patrón de comportamiento sugiere que el atacante solo estaba enumerando organizaciones para identificar cuentas a las que apuntar selectivamente para enumerar y descargar repositorios privados", dijo GitHub .

"GitHub cree que estos ataques fueron altamente dirigidos según la información disponible y nuestro análisis del comportamiento del atacante utilizando los tokens OAuth comprometidos emitidos a Travis CI y Heroku".

Encontrar evidencia de actividad maliciosa

GitHub reveló la brecha en la noche del 15 de abril , tres días después de descubrir el ataque, cuando el actor malicioso accedió a la infraestructura de producción de npm de GitHub.

En la etapa inicial del ataque, el autor de la amenaza usó una clave API de AWS comprometida adquirida después de descargar varios repositorios privados de npm usando tokens de usuario de OAuth robados.

Si bien  GitHub ,  Travis CI y  Heroku  revocaron todos los tokens de OAuth para bloquear el acceso adicional después de descubrir el ataque, se recomienda a las organizaciones afectadas que sigan monitoreando sus  registros de auditoría  y  los registros de seguridad de la cuenta de usuario en  busca de actividad potencialmente maliciosa relacionada con este incidente.

GitHub compartió la siguiente guía con los clientes potencialmente afectados para ayudarlos a investigar los registros en busca de evidencia de exfiltración de datos o actividad maliciosa:

- Revise todos sus repositorios privados en busca de secretos o credenciales almacenados en ellos. Hay varias herramientas que pueden ayudar con esta tarea, como  el escaneo secreto de GitHub  y  trufflehog .
- Revise las aplicaciones de OAuth que ha autorizado para su  cuenta personal  o que están autorizadas para acceder a su  organización  y elimine todo lo que ya no necesite.
- Siga las  pautas de GitHub  para fortalecer la postura de seguridad de su organización de GitHub.
- Revise  la actividad de su cuenta, los tokens de acceso personal, las aplicaciones de OAuth y las claves SSH para detectar cualquier actividad o cambio que pueda provenir del atacante.
- Las preguntas adicionales deben dirigirse al  Soporte de GitHub .

Puede encontrar más información sobre cómo respondió GitHub para proteger a sus clientes y qué necesitan saber las organizaciones  en la alerta de seguridad inicial.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta