blockchain-3944194_1280.jpg

Invasões em série com tokens OAuth emitidos pelo GitHub

Da Redação
17/04/2022

Tokens de usuário emitidos para dois integradores OAuth, a Heroku e a Travis-CI, foram roubados e estão sendo utilizados para para baixar dados de dezenas de organizações, incluindo o npm, o gerenciador de pacotes do Node (Node Package Manager) amplamente usado por desenvolvedores JavaScript para compartilhar ferramentas, instalar módulos e gerenciar dependências. O alerta sobre esse problema foi feito na última sexta-feira, dia 15 de Abril, peloChief Security Officer do GitHub, Mike Hanley.

Veja isso
GitHub passa a rastrear armazenamento de credenciais
Chave ‘master’ do REvil aparece em postagem no GitHub

Segundo Hanley, “observando toda a plataforma GitHub, temos alta confiança de que tokens de usuário OAuth comprometidos de aplicativos OAuth mantidos por Heroku e Travis-CI foram roubados e abusados ​​para baixar repositórios privados pertencentes a dezenas de organizações vítimas que estavam usando esses aplicativos. Nossa análise de outro comportamento do agente da ameaça sugere que os agentes podem estar minerando o conteúdo do repositório privado baixado, ao qual o token OAuth roubado teve acesso, em busca de segredos que podem ser usados ​​para migrar para outra infraestrutura”.

O CSO do GitHub listou os aplicativos OAuth afetados até15 de abril de 2022:

  • Painel Heroku (ID: 145909)
  • Painel Heroku (ID: 628778)
  • Painel Heroku – Visualização (ID: 313468)
  • Painel Heroku – Clássico (ID: 363831)
  • Travis CI (ID: 9216)

Os aplicativos mantidos por esses integradores, disse Hanley, eram utilizados ​​por usuários do GitHub, “incluindo o próprio GitHub. Não acreditamos que o invasor tenha obtido esses tokens por meio de um comprometimento do GitHub ou de seus sistemas, porque os tokens em questão não são armazenados pelo GitHub em seus formatos originais e utilizáveis. Após investigação imediata, divulgamos nossas descobertas para Heroku e Travis-CI em 13 e 14 de abril”.

O GitHub Security identificou o acesso não autorizado à infraestrutura de produção npm usando uma chave de API da AWS comprometida, disse Hanley: “Com base na análise subsequente, acreditamos que essa chave de API foi obtida pelo invasor quando ele baixou um conjunto de repositórios npm privados usando um token OAuth roubado de um dos dois aplicativos OAuth de terceiros afetados descritos acima”.

Compartilhar: