O GitHub revelou que um invasor está usando tokens de usuário OAuth roubados (emitidos para Heroku e Travis-CI) para baixar dados de repositórios privados.
Desde que esta campanha foi detectada pela primeira vez em 12 de abril de 2022, o agente da ameaça já acessou e roubou dados de dezenas de organizações de vítimas usando aplicativos OAuth mantidos por Heroku e Travis-CI, incluindo npm.
“Os aplicativos em manutenção por esses integradores tiveram utilidade por usuários do GitHub, incluindo o próprio GitHub”, revelou hoje Mike Hanley, Chief Security Officer (CSO) do GitHub.
Não acreditamos que o invasor tenha obtido esses tokens por meio de um comprometimento do GitHub ou de seus sistemas. Porque os tokens em questão não têm armazenamento pelo GitHub em seus formatos originais e utilizáveis.
Nossa análise de outro comportamento do agente da ameaça sugere que os agentes podem estar minerando o conteúdo do repositório privado baixado, ao qual o token OAuth roubado teve acesso, em busca de segredos que podem ser usados para migrar para outra infraestrutura.
De acordo com Hanley, a lista de aplicativos OAuth afetados inclui:
- Painel Heroku (ID: 145909)
- Painel Heroku (ID: 628778)
- O Painel Heroku – Visualização (ID: 313468)
- Painel Heroku – Clássico (ID: 363831)
- Travis CI (ID: 9216)
O GitHub Security identificou o acesso não autorizado à infraestrutura de produção npm do GitHub em 12 de abril, depois que o invasor usou uma chave de API da AWS comprometida.
Invasor violou dezenas de organizações usando tokens OAuth roubados do GitHub
O invasor provavelmente obteve a chave de API depois de baixar vários repositórios npm privados usando tokens OAuth roubados.
“Ao descobrir o roubo mais amplo de tokens OAuth de terceiros não armazenados pelo GitHub ou npm na noite de 13 de abril, imediatamente tomamos medidas para proteger o GitHub e o npm revogando tokens associados ao GitHub e ao uso interno do npm desses aplicativos comprometidos”, acrescentou Hanley.
O impacto na organização npm inclui acesso não autorizado a repositórios privados do GitHub.com e “acesso potencial” a pacotes npm no armazenamento AWS S3.
Repositórios privados do GitHub não afetados
Embora o invasor tenha conseguido roubar dados dos repositórios comprometidos, o GitHub acredita que nenhum dos pacotes foi modificado. Além disso, nenhum dado ou credencial de conta de usuário teve acesso no incidente.
“O npm usa uma infraestrutura completamente separada do GitHub.com; o GitHub não foi afetado neste ataque original”, disse Hanley.
“Embora a investigação continue, não encontramos evidências de que outros repositórios privados de propriedade do GitHub tenham clonagem pelo invasor usando tokens OAuth roubados de terceiros.”
O GitHub está trabalhando para notificar todos os usuários e organizações afetados. Isso ocorrerá à medida que haja identificação com informações adicionais.
Você deve revisar os logs de auditoria da sua organização e os logs de segurança da conta de usuário para atividades maliciosas anômalas e potenciais.
Você pode encontrar mais informações sobre como o GitHub respondeu para proteger seus usuários e o que clientes e organizações precisam saber no alerta de segurança publicado na sexta-feira.
Via BleepingComputer