Para baixar dados de repositórios privados, um invasor violou organizações usando tokens OAuth roubados no GitHub.
O GitHub revelou que um invasor está usando tokens de usuário OAuth roubados (emitidos para Heroku e Travis-CI) para baixar dados de repositórios privados.
Invasor violou organizações usando tokens OAuth roubados no GitHub
Desde que esta campanha foi detectada pela primeira vez em 12 de abril de 2022, o agente da ameaça já acessou e roubou dados de dezenas de organizações de vítimas usando aplicativos OAuth mantidos por Heroku e Travis-CI, incluindo npm.
“Os aplicativos mantidos por esses integradores foram usados por usuários do GitHub, incluindo o próprio GitHub”, revelou Mike Hanley, Chief Security Officer (CSO) do GitHub.
“Não acreditamos que o invasor tenha obtido esses tokens por meio de um comprometimento do GitHub ou de seus sistemas, porque os tokens em questão não são armazenados pelo GitHub em seus formatos originais e utilizáveis.”
“Nossa análise de outro comportamento do agente da ameaça sugere que os agentes podem estar minerando o conteúdo do repositório privado baixado, ao qual o token OAuth roubado teve acesso, em busca de segredos que podem ser usados para migrar para outra infraestrutura”.
De acordo com Hanley, a lista de aplicativos OAuth afetados inclui:
Painel Heroku (ID: 145909)
Painel Heroku (ID: 628778)
Painel Heroku – Visualização (ID: 313468)
Painel Heroku – Clássico (ID: 363831)
Travis CI (ID: 9216)
O GitHub Security identificou o acesso não autorizado à infraestrutura de produção npm do GitHub em 12 de abril, depois que o invasor usou uma chave de API da AWS comprometida.
O invasor provavelmente obteve a chave de API depois de baixar vários repositórios npm privados usando tokens OAuth roubados.
“Ao descobrir o roubo mais amplo de tokens OAuth de terceiros não armazenados pelo GitHub ou npm na noite de 13 de abril, imediatamente tomamos medidas para proteger o GitHub e o npm revogando tokens associados ao GitHub e ao uso interno do npm desses aplicativos comprometidos”, acrescentou Hanley.
O impacto na organização npm inclui acesso não autorizado a repositórios privados do GitHub.com e “acesso potencial” a pacotes npm no armazenamento AWS S3.
GitHub has uncovered evidence that an attacker abused stolen OAuth user tokens issued to two third-party OAuth integrators, Heroku and Travis-CI. Read more about the impact to GitHub, npm, and our users. https://t.co/eB7IJfJfh1
— GitHub Security (@GitHubSecurity) April 15, 2022
Embora o invasor tenha conseguido roubar dados dos repositórios comprometidos, o GitHub acredita que nenhum dos pacotes foi modificado e nenhum dado ou credencial de conta de usuário foi acessado no incidente.
“O npm usa uma infraestrutura completamente separada do GitHub.com; o GitHub não foi afetado neste ataque original”, disse Hanley.
“Embora a investigação continue, não encontramos evidências de que outros repositórios privados de propriedade do GitHub tenham sido clonados pelo invasor usando tokens OAuth roubados de terceiros.”
O GitHub está trabalhando para notificar todos os usuários e organizações afetados à medida que são identificados com informações adicionais.
Você deve revisar os logs de auditoria da sua organização e os logs de segurança da conta de usuário para atividades maliciosas anômalas e potenciais.
Você pode encontrar mais informações sobre como o GitHub respondeu para proteger seus usuários e o que clientes e organizações precisam saber no alerta de segurança publicado na sexta-feira.
