GitHub: dozzine di organizzazioni violate utilizzando token OAuth rubati

GitHub ha rivelato oggi che un utente malintenzionato sta utilizzando token OAuth rubati per scaricare dati da repository privati.

Da quando questa campagna è stata individuata per la prima volta il 12 aprile 2022, l’attore delle minacce ha già avuto accesso e ha rubato i dati da dozzine di organizzazioni vittime che utilizzano le app OAuth gestite da Heroku e Travis-CI, incluso npm.

“Le applicazioni gestite da questi integratori sono state utilizzate dagli utenti di GitHub, incluso lo stesso GitHub”

ha detto oggi Mike Hanley, Chief Security Officer (CSO) di GitHub.

“Non crediamo che l’attaccante abbia ottenuto questi token tramite una compromissione a GitHub o dei suoi sistemi, perché i token in questione non sono archiviati da GitHub nei loro formati originali e utilizzabili. La nostra analisi di altri comportamenti da parte dell’attore della minaccia suggerisce che i malintenzionati potrebbero minare i contenuti del repository privato scaricato, a cui aveva accesso il token OAuth rubato, per ottenere informazioni riservate che potrebbero essere utilizzate per accedere in altre infrastrutture”.

Secondo Hanley, l’elenco delle applicazioni OAuth interessate include:

• Dashboard di Heroku (ID: 145909)
• Dashboard di Heroku (ID: 628778)
• Dashboard di Heroku – Anteprima (ID: 313468)
• Dashboard Heroku – Classico (ID: 363831)
• Travis CI (ID: 9216)

GitHub Security ha identificato l’accesso non autorizzato all’infrastruttura di produzione npm di GitHub il 12 aprile, dopo che l’attaccante ha utilizzato una chiave API AWS compromessa.

L’autore dell’attacco probabilmente ha ottenuto la chiave API dopo aver scaricato più repository npm privati ​​utilizzando token OAuth rubati.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.