Un acteur malveillant inconnu collecte des données à partir de référentiels de code privés, à l’aide de jetons d’utilisateur OAuth volés délivrés à Heroku et Travic-CI.
Comme l’a rapporté GitHub, mardi dernier, l’acteur menaçant a réussi à voler les données de « dizaines de victimes ».
« Les applications maintenues par ces intégrateurs étaient utilisées par les utilisateurs de GitHub, y compris GitHub lui-même », a déclaré Mike Hanley, responsable de la sécurité chez GitHub.
Aucun identifiant volé
Hanley a poursuivi en expliquant que l’attaquant n’avait pas obtenu ces jetons à la suite d’une brèche chez GitHub, qui n’a pas stocké les jetons volés dans leur format d’origine utilisable.
« Notre analyse d’autres comportements de l’acteur malveillant suggère que les acteurs peuvent exploiter le contenu du référentiel privé téléchargé, auquel le jeton OAuth volé avait accès, à la recherche de secrets qui pourraient être utilisés pour pivoter vers d’autres infrastructures », a-t-il ajouté.
Hanley a déclaré que les applications OAuth concernées incluent Heroku Dashboard (ID : 145909 et ID : 628778), Heroku Dashboard – Preview (ID : 313468), Heroku Dashboard – Classic (ID : 363831) et Travis CI (ID : 9216).
L’attaquant a été repéré le 12 avril, alors qu’il tentait d’utiliser une clé d’API AWS compromise pour accéder à l’infrastructure de production npm de GitHub. Il est supposé que l’attaquant a trouvé la clé API lors du téléchargement de plusieurs référentiels npm privés.
« Après avoir découvert le vol plus large de jetons OAuth tiers non stockés par GitHub ou npm le soir du 13 avril, nous avons immédiatement pris des mesures pour protéger GitHub et npm en révoquant les jetons associés à l’utilisation interne de GitHub et npm de ces applications compromises », Hanley a expliqué plus en détail.
Celui qui était à l’origine de l’attaque a réussi à voler des données dans les référentiels affectés, mais n’a probablement pas été en mesure de modifier les packages, ni d’obtenir des données d’identité ou des mots de passe de compte.
« npm utilise une infrastructure complètement distincte de GitHub.com ; GitHub n’a pas été affecté par cette attaque initiale », a déclaré Hanley. « Bien que l’enquête se poursuive, nous n’avons trouvé aucune preuve que d’autres dépôts privés appartenant à GitHub aient été clonés par l’attaquant à l’aide de jetons OAuth tiers volés. »
Via BleepingComputer