L’attaquant a piraté des dizaines d’organisations à l’aide de jetons OAuth volés

GitHub

GitHub a révélé aujourd’hui qu’un attaquant utilise des jetons d’utilisateur OAuth volés (délivrés à Heroku et Travis-CI) pour télécharger des données à partir de référentiels privés.

Depuis que cette campagne a été repérée pour la première fois le 12 avril 2022, l’acteur de la menace a déjà accédé et volé des données à des dizaines d’organisations de victimes utilisant les applications OAuth gérées par Heroku et Travis-CI, y compris npm.

« Les applications maintenues par ces intégrateurs étaient utilisées par les utilisateurs de GitHub, y compris GitHub lui-même », révélé aujourd’hui Mike Hanley, directeur de la sécurité (CSO) chez GitHub.

« Nous ne pensons pas que l’attaquant ait obtenu ces jetons via une compromission de GitHub ou de ses systèmes, car les jetons en question ne sont pas stockés par GitHub dans leurs formats d’origine utilisables.

« Notre analyse d’autres comportements de l’acteur menaçant suggère que les acteurs exploitent peut-être le contenu du référentiel privé téléchargé, auquel le jeton OAuth volé avait accès, à la recherche de secrets qui pourraient être utilisés pour pivoter vers d’autres infrastructures. »

Selon Hanley, la liste des applications OAuth concernées comprend :

  • Tableau de bord Heroku (ID : 145909)
  • Tableau de bord Heroku (ID : 628778)
  • Tableau de bord Heroku – Aperçu (ID : 313468)
  • Tableau de bord Heroku – Classique (ID : 363831)
  • Travis CI (ID: 9216)

GitHub Security a identifié l’accès non autorisé à l’infrastructure de production npm de GitHub le 12 avril après que l’attaquant a utilisé une clé d’API AWS compromise.

L’attaquant a probablement obtenu la clé API après avoir téléchargé plusieurs référentiels npm privés à l’aide de jetons OAuth volés.

« Après avoir découvert le vol plus large de jetons OAuth tiers non stockés par GitHub ou npm le soir du 13 avril, nous avons immédiatement pris des mesures pour protéger GitHub et npm en révoquant les jetons associés à l’utilisation interne de GitHub et npm de ces applications compromises », Hanley a ajouté.

L’impact sur l’organisation npm comprend un accès non autorisé aux référentiels privés GitHub.com et un « accès potentiel » aux packages npm sur le stockage AWS S3.

Les dépôts privés de GitHub ne sont pas affectés

Bien que l’attaquant ait pu voler des données des référentiels compromis, GitHub pense qu’aucun des packages n’a été modifié et qu’aucune donnée de compte d’utilisateur ou d’informations d’identification n’a été consultée lors de l’incident.

« npm utilise une infrastructure complètement distincte de GitHub.com ; GitHub n’a pas été affecté par cette attaque initiale », a déclaré Hanley.

« Bien que l’enquête se poursuive, nous n’avons trouvé aucune preuve que d’autres dépôts privés appartenant à GitHub aient été clonés par l’attaquant à l’aide de jetons OAuth tiers volés. »

GitHub s’efforce de notifier tous les utilisateurs et organisations concernés au fur et à mesure qu’ils sont identifiés avec des informations supplémentaires.

Vous devriez revoir votre journaux d’audit de l’organisation et le journaux de sécurité des comptes d’utilisateurs pour toute activité malveillante anormale et potentielle.

Vous pouvez trouver plus d’informations sur la façon dont GitHub a répondu pour protéger ses utilisateurs et ce que les clients et les organisations doivent savoir dans l’alerte de sécurité publiée vendredi.