(https://media.cybernews.com/images/featured-big/2025/07/sharon-brizinov-github.jpg)
Las confirmaciones de GitHub nunca se eliminan por completo, y algunos desarrolladores lo están descubriendo por las malas. Un hacker de sombrero blanco Sharon Brizinov analizó las confirmaciones pendientes de GitHub "eliminadas" y encontró miles de secretos que otorgaban incluso acceso de administrador a todos los repositorios de los desarrolladores, obteniendo 25 000 $ en recompensas en el proceso.
Los desarrolladores suelen usar envíos forzados en GitHub para eliminar errores anteriores. Sin embargo, a menudo olvidan que el historial de Git lo conserva todo, incluso cuando se eliminan archivos.
eL investigador de seguridad asumió correctamente que las confirmaciones pendientes restantes, guardadas por GitHub "para siempre", podrían contener secretos muy sensibles.
"Analicé cada evento de envío forzado desde 2020 y descubrí secretos por un valor de 25 000 $ en recompensas por errores", detalla Brizinov en la entrada del blog de Truffle Security.
Aún más sorprendente es que el hacker de sombrero blanco utilizó una herramienta "codificada por vibración" (generada por IA) para escanear GitHub y descubrir miles de secretos activos.
Las filtraciones de secretos de MongoDB fueron las más frecuentes (1247), pero Brizinov también obtuvo cientos de secretos de TelegramBotTokens, Postgres, Infura, OpenWeather y AWS. Los desarrolladores expusieron inadvertidamente 162 tipos de secretos.
Más de la mitad de las credenciales filtradas se encontraron en archivos .env expuestos, dejando la otra mitad para el resto de los nombres de archivo, como index.js, application.properties, app.js, server.js y otros.
(https://media.cybernews.com/2025/07/file-types.jpg)
"Los secretos filtrados más interesantes fueron los tokens PAT de GitHub y las credenciales de AWS. ¡Estos también generaron las recompensas más altas!", afirmó Brizinov.
Los secretos activos son extremadamente sensibles y podrían provocar importantes brechas de seguridad.
Uno de los hallazgos fue un token PAT de GitHub, que otorga acceso de administrador a todos los repositorios pertenecientes al desarrollador Istio. El proyecto Istio se utiliza ampliamente para la gestión y seguridad de microservicios. Cuenta con 36 000 estrellas y 8000 bifurcaciones. La posible vulneración de la cadena de suministro podría afectar a grandes corporaciones como Google, IBM, Red Hat y otras.
"Podría haber leído variables de entorno, modificado pipelines, enviado código, creado nuevas versiones o incluso eliminado todo el proyecto. La posibilidad de un ataque masivo a la cadena de suministro en este caso era alarmante", explica Brizinov.
(https://media.cybernews.com/2025/07/exposed-secret-github.jpg)
Brizinov obtuvo previamente $64,000 adicionales gracias a archivos eliminados en GitHub. La investigación posterior se centró en el escaneo de eventos de envío forzado, que suelen ocurrir cuando los desarrolladores fuerzan un cambio en la referencia HEAD de la confirmación actual, sobrescribiendo así el historial de confirmaciones.
El investigador explica que los desarrolladores prefieren esta acción cuando confirman accidentalmente datos que contienen un error, como credenciales predefinidas. Sin embargo, no rotan las credenciales expuestas.
Herramienta codificada en Vibe ahora disponible para todos
Si se siente afortunado, ahora puede intentar escanear GitHub con el script que usó Brizinov. El investigador compartió el código en GitHub:
(https://github.com/trufflesecurity/force-push-scanner)
La herramienta utiliza la API de eventos de GitHub, que permite a los usuarios recuperar información sobre los eventos que ocurren dentro de GitHub, y GitHub Archive, un servicio que escucha el flujo de eventos de GitHub y lo archiva.
"Usé vercel v0 para codificar en Vibe una plataforma completa para clasificar estos secretos de 'Oops Commit'", dijo Brizinov.
Revisar los secretos descubiertos sigue siendo una tarea manual, pero el investigador espera automatizarla posteriormente.
"Estos datos podrían entonces pasarse a un agente basado en LLAMA que analiza e identifica secretos potencialmente valiosos".
Brizinov advierte a los desarrolladores que siempre consideren los secretos expuestos como comprometidos y los revoquen inmediatamente.
Los investigadores ya habían advertido que todo lo publicado en GitHub permanece allí indefinidamente. Solo en 2024, los desarrolladores comprometieron código con más de 23 millones de nuevos secretos codificados, según descubrió la firma de seguridad GitGuardian.
Fuente:
CyberNews
https://cybernews.com/security/hacker-scans-github-uncovers-sensitive-secrets/