En su más reciente reporte de seguridad, GitHub confirmó que un grupo de actores de amenazas está usando tokens OAuth de usuarios legítimos para descargar información desde repositorios privados. La campaña fue detectada hace una semana y ya se han visto decenas de repositorios comprometidos, los cuales estaban usando aplicaciones OAuth mantenidas por Heroku y Travis-CI.
Mike Hanley, director de seguridad de GitHub, confirmó el incidente mencionando que incluso la plataforma usa algunas de las aplicaciones afectadas: “Nuestro análisis sugiere que los actores de amenazas podrían estar extrayendo los contenidos del repositorio privado descargado, al que tenía acceso el token OAuth robado, en busca de secretos que podrían usarse para pasar a otra infraestructura”.
La lista de aplicaciones afectadas incluye:
- Heroku Dashboard (ID: 145909)
- Heroku Dashboard (ID: 628778)
- Heroku Dashboard – Preview (ID: 313468)
- Heroku Dashboard – Classic (ID: 363831)
- Travis CI (ID: 9216)
Los equipos de seguridad de GitHub identificaron el acceso no autorizado a su infraestructura de producción npm el 12 de abril, cuando los actores de amenazas usaron una clave API de AWS comprometida. Esta clave podría haber sido obtenida al descargar algunos repositorios npm privados usando los tokens comprometidos.
Los tokens utilizados para el ataque fueron revocados cuando la plataforma identificó el compromiso. Hanley confirmó que el impacto del incidente incluye el acceso no autorizado a repositorios privados de GitHub.com, además del potencial acceso a paquetes npm en su almacenamiento AWS S3.
A pesar de que los actores de amenazas podrían haber robado información de los repositorios comprometidos, la plataforma ha concluido que ninguno de los paquetes fue modificado con fines maliciosos: “npm usa una infraestructura independiente de GitHub”, finalizó el mensaje de Hanley.
Los equipos de seguridad en la plataforma ya trabajan para notificar a los usuarios afectados, además de mantener una investigación activa sobre la intrusión. Para acelerar la investigación, GitHub recomienda a los usuarios revisar los registros de auditoría de sus organizaciones, además de los registros de seguridad de cada cuenta para identificar potenciales indicios de ataque.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad