Redazione RHC : 16 Aprile 2022 22:27
GitHub ha rivelato oggi che un utente malintenzionato sta utilizzando token OAuth rubati per scaricare dati da repository privati.
Da quando questa campagna è stata individuata per la prima volta il 12 aprile 2022, l’attore delle minacce ha già avuto accesso e ha rubato i dati da dozzine di organizzazioni vittime che utilizzano le app OAuth gestite da Heroku e Travis-CI, incluso npm.
“Le applicazioni gestite da questi integratori sono state utilizzate dagli utenti di GitHub, incluso lo stesso GitHub”
Supporta Red Hot Cyber attraverso
ha detto oggi Mike Hanley, Chief Security Officer (CSO) di GitHub.
“Non crediamo che l’attaccante abbia ottenuto questi token tramite una compromissione a GitHub o dei suoi sistemi, perché i token in questione non sono archiviati da GitHub nei loro formati originali e utilizzabili. La nostra analisi di altri comportamenti da parte dell’attore della minaccia suggerisce che i malintenzionati potrebbero minare i contenuti del repository privato scaricato, a cui aveva accesso il token OAuth rubato, per ottenere informazioni riservate che potrebbero essere utilizzate per accedere in altre infrastrutture”.
Secondo Hanley, l’elenco delle applicazioni OAuth interessate include:
GitHub Security ha identificato l’accesso non autorizzato all’infrastruttura di produzione npm di GitHub il 12 aprile, dopo che l’attaccante ha utilizzato una chiave API AWS compromessa.
L’autore dell’attacco probabilmente ha ottenuto la chiave API dopo aver scaricato più repository npm privati utilizzando token OAuth rubati.
Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009