El servicio de alojamiento de repositorios en la nube GitHub ha revelado este viernes que ha descubierto pruebas de que un adversario no identificado ha aprovechado tokens de usuario OAuth robados para descargar sin autorización datos privados de varias organizaciones.
«Un atacante abusó de tokens de usuario OAuth robados emitidos a dos integradores OAuth de terceros, Heroku y Travis-CI, para descargar datos de docenas de organizaciones, incluyendo NPM», reveló Mike Hanley de GitHub en un informe.
Los tokens de acceso OAuth suelen ser utilizados por aplicaciones y servicios para autorizar el acceso a partes específicas de los datos de un usuario y comunicarse entre sí sin tener que compartir las credenciales reales. Es uno de los métodos más comunes utilizados para pasar la autorización de un servicio de inicio de sesión único (SSO) a otra aplicación.
A partir del 15 de abril de 2022, la lista de aplicaciones OAuth afectadas es la siguiente
- Heroku Dashboard (ID: 145909)
- Heroku Dashboard (ID: 628778)
- Heroku Dashboard – Preview (ID: 313468)
- Heroku Dashboard – Classic (ID: 363831), and
- Travis CI (ID: 9216)
Los tokens OAuth no se han obtenido a través de una violación de GitHub o de sus sistemas, dijo la compañía, ya que no almacena los tokens en sus formatos originales y utilizables.
Además, GitHub advirtió que el actor de la amenaza podría estar analizando el contenido de los repositorios privados descargados de las entidades víctimas que utilizan estas aplicaciones OAuth de terceros para obtener secretos adicionales que podrían ser aprovechados para pivotar en otras partes de su infraestructura.
La plataforma, propiedad de Microsoft, señaló que encontró las primeras pruebas de la campaña de ataque el 12 de abril, cuando encontró un acceso no autorizado a su entorno de producción NPM utilizando una clave de API de AWS comprometida.
Se cree que esta clave de la API de AWS se obtuvo al descargar un conjunto de repositorios privados de NPM no especificados utilizando el token OAuth robado de una de las dos aplicaciones OAuth afectadas. GitHub dijo que desde entonces ha revocado los tokens de acceso asociados a las aplicaciones afectadas.
«En este momento, evaluamos que el atacante no modificó ningún paquete ni obtuvo acceso a ningún dato o credencial de la cuenta de usuario», dijo la compañía, añadiendo que todavía está investigando para determinar si el atacante vio o descargó paquetes privados.
En una notificación separada, la filial de Salesforce, Heroku, confirmó la revocación de los tokens de acceso, añadiendo «hasta nuevo aviso, no emitiremos tokens OAuth desde el Dashboard de Heroku» para «evitar el acceso no autorizado a sus repositorios de GitHub.»
GitHub también dijo que actualmente está trabajando para identificar y notificar a todos los usuarios y organizaciones víctimas conocidas que pueden verse afectadas como resultado de este incidente en las próximas 72 horas.