GitHub: el atacante violó docenas de organizaciones usando tokens OAuth robados

GitHub reveló hoy que un atacante está utilizando tokens de usuario de OAuth robados (emitidos a Heroku y Travis-CI) para descargar datos de repositorios privados.

Desde que esta campaña se detectó por primera vez el 12 de abril de 2022, el actor de amenazas ya accedió y robó datos de docenas de organizaciones víctimas que utilizan las aplicaciones OAuth mantenidas por Heroku y Travis-CI, incluido npm.

"Las aplicaciones mantenidas por estos integradores fueron utilizadas por los usuarios de GitHub, incluido el propio GitHub", reveló hoy Mike Hanley, director de seguridad (CSO) de GitHub.

"No creemos que el atacante haya obtenido estos tokens a través de un compromiso de GitHub o sus sistemas, porque GitHub no almacena los tokens en cuestión en sus formatos originales utilizables.

"Nuestro análisis de otro comportamiento por parte del actor de amenazas sugiere que los actores pueden estar extrayendo los contenidos del repositorio privado descargado, al que tenía acceso el token OAuth robado, en busca de secretos que podrían usarse para pasar a otra infraestructura".

Según Hanley, la lista de aplicaciones OAuth afectadas incluye:

Tablero de Heroku (ID: 145909)
Tablero de Heroku (ID: 628778)
Tablero de Heroku – Vista previa (ID: 313468)
Tablero Heroku – Clásico (ID: 363831)
Travis CI (Número de identificación: 9216)

GitHub Security identificó el acceso no autorizado a la infraestructura de producción npm de GitHub el 12 de abril después de que el atacante usó una clave API de AWS comprometida.

El atacante probablemente obtuvo la clave API después de descargar varios repositorios privados de npm utilizando tokens de OAuth robados.

"Al descubrir el robo más amplio de tokens OAuth de terceros no almacenados por GitHub o npm en la noche del 13 de abril, inmediatamente tomamos medidas para proteger a GitHub y npm al revocar los tokens asociados con GitHub y el uso interno de npm de estas aplicaciones comprometidas". añadió Hanley.

El impacto en la organización de npm incluye el acceso no autorizado a los repositorios privados de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y el "acceso potencial" a los paquetes de npm en el almacenamiento de AWS S3.


Los repositorios privados de GitHub no se ven afectados

Si bien el atacante pudo robar datos de los repositorios comprometidos, GitHub cree que ninguno de los paquetes se modificó y no se accedió a los datos o credenciales de la cuenta de usuario en el incidente.

"npm usa una infraestructura completamente separada de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta; GitHub no se vio afectado en este ataque original", dijo Hanley.

"Aunque la investigación continúa, no hemos encontrado evidencia de que el atacante haya clonado otros repositorios privados propiedad de GitHub utilizando tokens OAuth de terceros robados".

GitHub está trabajando para notificar a todos los usuarios y organizaciones afectados a medida que se identifican con información adicional.

Debe revisar los registros de auditoría de su organización y los  registros de seguridad de la cuenta de usuario para detectar posibles actividades maliciosas anómalas.

Puede encontrar más información sobre cómo respondió GitHub para proteger a sus usuarios y qué deben saber los clientes y las organizaciones en la alerta de seguridad publicada el viernes.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta