Un hacker misterioso esta sacando de contrabando datos de repositorios

Un actor malicioso desconocido recopila datos de repositorios de códigos privados, utilizando tokens de usuario de OAuth robados emitidos a Heroku y Travic-CI.

Como informó GitHub, el martes pasado, el actor de amenazas logró robar los datos de «docenas de víctimas».

«Las aplicaciones mantenidas por estos integradores fueron utilizadas por los usuarios de GitHub, incluido el propio GitHub», dijo Mike Hanley, director de seguridad de GitHub.

Sin credenciales robadas

Hanley continuó explicando que el atacante no obtuvo estos tokens luego de una brecha en GitHub, que no almacenó los tokens robados en su formato utilizable original.

“Nuestro análisis de otros comportamientos de actores maliciosos sugiere que los actores pueden explotar el contenido del repositorio privado cargado, al que tenía acceso el token OAuth robado, en busca de secretos que podrían usarse para pasar a otras infraestructuras”, agregó.

Hanley dijo que las aplicaciones de OAuth afectadas incluyen Heroku Dashboard (ID: 145909 e ID: 628778), Heroku Dashboard – Preview (ID: 313468), Heroku Dashboard – Classic (ID: 363831) y Travis CI (ID: 9216).

El atacante fue detectado el 12 de abril intentando usar una clave API de AWS comprometida para acceder al marco de producción npm de GitHub. Se supone que el atacante encontró la clave API mientras descargaba varios repositorios privados de npm.

«Después de descubrir el robo más amplio de tokens OAuth de terceros no almacenados por GitHub o npm en la noche del 13 de abril, inmediatamente tomamos medidas para proteger a GitHub y npm al revocar los tokens asociados con GitHub y el uso interno de npm de estas aplicaciones comprometidas». Hanley explicó con más detalle.

Quienquiera que estuviera detrás del ataque logró robar datos de los repositorios afectados, pero probablemente no pudo modificar los paquetes ni obtener datos de identidad o contraseñas de cuenta.

«npm usa una infraestructura completamente separada de GitHub.com; GitHub no se vio afectado por este ataque inicial», dijo Hanley. «Mientras continúa la investigación, no hemos encontrado evidencia de que el atacante haya clonado otros repositorios privados que pertenecen a GitHub utilizando tokens OAuth de terceros robados».

Vía BleepingComputer

Share This