GitHub afferma che gli hacker hanno violato dozzine di organizzazioni con token di accesso OAuth rubati

Il servizio di hosting di repository basato su cloud GitHub ha rivelato venerdì di aver scoperto prove di un avversario senza nome che sfrutta i codici utente OAuth rubati per il download non autorizzato di dati privati ​​da più organizzazioni.

“Un utente malintenzionato ha utilizzato in modo improprio token utente OAuth rubati emessi a due integratori OAuth di terze parti, Heroku e Travis-CI, per scaricare dati da dozzine di organizzazioni, tra cui NPM”, Mike Hanley di GitHub una dichiarazione in un rapporto.

Spesso i token di accesso OAuth lo sono Usato Tramite applicazioni e servizi per consentire l’accesso a dati specifici dell’utente e comunicare tra loro senza dover condividere le credenziali effettive. È uno dei metodi più comuni utilizzati per passare l’autorizzazione da un unico accesso (SSO) un servizio per un’altra applicazione.

A partire dal 15 aprile 2022, l’elenco delle applicazioni OAuth interessate è il seguente:

• Dashboard di Heroku (ID: 145909)
• Dashboard di Heroku (ID: 628778)
• Dashboard di Heroku – Anteprima (ID: 313468)
• Cruscotto Heroku – Classico (ID: 363831),
• Travis CI (ID: 9216)

La società ha affermato che i token OAuth non sarebbero stati ottenuti tramite una violazione di GitHub o dei suoi sistemi, perché non memorizza i token nei loro formati utilizzabili originali.

Inoltre, GitHub ha avvertito che un attore minacciato può analizzare il contenuto di un repository privato scaricato da entità vittime utilizzando applicazioni OAuth di terze parti per raccogliere segreti aggiuntivi che possono quindi essere sfruttati per concentrarsi su altre parti della loro infrastruttura.

La piattaforma di proprietà di Microsoft ha indicato di aver trovato le prime prove della campagna di attacco il 12 aprile, quando ha riscontrato un accesso non autorizzato al suo ambiente di produzione NPM utilizzando una chiave API AWS compromessa.

Si ritiene che questa chiave API AWS sia stata ottenuta scaricando una serie di repository NPM privati ​​non identificati con un token OAuth da una delle due applicazioni OAuth interessate. GitHub ha affermato di aver rimosso i token di accesso associati alle app interessate.

“A questo punto, valutiamo che l’attaccante non ha modificato alcun pacchetto o ottenuto l’accesso a dati o dati dell’account utente”, ha affermato la società, aggiungendo che stava ancora verificando se l’attaccante ha visualizzato o scaricato pacchetti privati.

GitHub ha anche affermato che sta attualmente lavorando per identificare e notificare tutti gli utenti e le organizzazioni interessati noti che potrebbero essere interessati a causa di questo incidente nelle prossime 72 ore.