Invasor violou organizações usando tokens OAuth roubados no GitHub

Para baixar dados de repositórios privados, um invasor violou organizações usando tokens OAuth roubados no GitHub.

O GitHub revelou que um invasor está usando tokens de usuário OAuth roubados (emitidos para Heroku e Travis-CI) para baixar dados de repositórios privados.

Invasor violou organizações usando tokens OAuth roubados no GitHub

Invasor violou organizações usando tokens OAuth roubados no GitHub
Invasor violou organizações usando tokens OAuth roubados no GitHub

Desde que esta campanha foi detectada pela primeira vez em 12 de abril de 2022, o agente da ameaça já acessou e roubou dados de dezenas de organizações de vítimas usando aplicativos OAuth mantidos por Heroku e Travis-CI, incluindo npm.

“Os aplicativos mantidos por esses integradores foram usados ​​por usuários do GitHub, incluindo o próprio GitHub”, revelou Mike Hanley, Chief Security Officer (CSO) do GitHub.

“Não acreditamos que o invasor tenha obtido esses tokens por meio de um comprometimento do GitHub ou de seus sistemas, porque os tokens em questão não são armazenados pelo GitHub em seus formatos originais e utilizáveis.”

“Nossa análise de outro comportamento do agente da ameaça sugere que os agentes podem estar minerando o conteúdo do repositório privado baixado, ao qual o token OAuth roubado teve acesso, em busca de segredos que podem ser usados ​​para migrar para outra infraestrutura”.

De acordo com Hanley, a lista de aplicativos OAuth afetados inclui:
Painel Heroku (ID: 145909)
Painel Heroku (ID: 628778)
Painel Heroku – Visualização (ID: 313468)
Painel Heroku – Clássico (ID: 363831)
Travis CI (ID: 9216)
O GitHub Security identificou o acesso não autorizado à infraestrutura de produção npm do GitHub em 12 de abril, depois que o invasor usou uma chave de API da AWS comprometida.

O invasor provavelmente obteve a chave de API depois de baixar vários repositórios npm privados usando tokens OAuth roubados.

“Ao descobrir o roubo mais amplo de tokens OAuth de terceiros não armazenados pelo GitHub ou npm na noite de 13 de abril, imediatamente tomamos medidas para proteger o GitHub e o npm revogando tokens associados ao GitHub e ao uso interno do npm desses aplicativos comprometidos”, acrescentou Hanley.

O impacto na organização npm inclui acesso não autorizado a repositórios privados do GitHub.com e “acesso potencial” a pacotes npm no armazenamento AWS S3.


Embora o invasor tenha conseguido roubar dados dos repositórios comprometidos, o GitHub acredita que nenhum dos pacotes foi modificado e nenhum dado ou credencial de conta de usuário foi acessado no incidente.

“O npm usa uma infraestrutura completamente separada do GitHub.com; o GitHub não foi afetado neste ataque original”, disse Hanley.

“Embora a investigação continue, não encontramos evidências de que outros repositórios privados de propriedade do GitHub tenham sido clonados pelo invasor usando tokens OAuth roubados de terceiros.”

O GitHub está trabalhando para notificar todos os usuários e organizações afetados à medida que são identificados com informações adicionais.

Você deve revisar os logs de auditoria da sua organização e os logs de segurança da conta de usuário para atividades maliciosas anômalas e potenciais.

Você pode encontrar mais informações sobre como o GitHub respondeu para proteger seus usuários e o que clientes e organizações precisam saber no alerta de segurança publicado na sexta-feira.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Ads Blocker Image Powered by Code Help Pro

Bloqueador de anúncios detectado!!!

Nosso site precisa de publicidade para existir. Por favor, insira-o na lista de permissões/lista branca para liberar a exibição de anúncios e apoiar nosso site. Nosso conteúdo é GRATUITO, e tudo o que pedimos é isso!
Powered By
Best Wordpress Adblock Detecting Plugin | CHP Adblock