GitHub: dozzine di organizzazioni violate utilizzando token OAuth rubati

GitHub ha rivelato oggi che un utente malintenzionato sta utilizzando token OAuth rubati per scaricare dati da repository privati.

Da quando questa campagna è stata individuata per la prima volta il 12 aprile 2022, l’attore delle minacce ha già avuto accesso e ha rubato i dati da dozzine di organizzazioni vittime che utilizzano le app OAuth gestite da Heroku e Travis-CI, incluso npm.

“Le applicazioni gestite da questi integratori sono state utilizzate dagli utenti di GitHub, incluso lo stesso GitHub”

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

ha detto oggi Mike Hanley, Chief Security Officer (CSO) di GitHub.

“Non crediamo che l’attaccante abbia ottenuto questi token tramite una compromissione a GitHub o dei suoi sistemi, perché i token in questione non sono archiviati da GitHub nei loro formati originali e utilizzabili. La nostra analisi di altri comportamenti da parte dell’attore della minaccia suggerisce che i malintenzionati potrebbero minare i contenuti del repository privato scaricato, a cui aveva accesso il token OAuth rubato, per ottenere informazioni riservate che potrebbero essere utilizzate per accedere in altre infrastrutture”.

Secondo Hanley, l’elenco delle applicazioni OAuth interessate include:

• Dashboard di Heroku (ID: 145909)
• Dashboard di Heroku (ID: 628778)
• Dashboard di Heroku – Anteprima (ID: 313468)
• Dashboard Heroku – Classico (ID: 363831)
• Travis CI (ID: 9216)

GitHub Security ha identificato l’accesso non autorizzato all’infrastruttura di produzione npm di GitHub il 12 aprile, dopo che l’attaccante ha utilizzato una chiave API AWS compromessa.

L’autore dell’attacco probabilmente ha ottenuto la chiave API dopo aver scaricato più repository npm privati ​​utilizzando token OAuth rubati.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.