GitHub confirmó que un grupo de hackers está usando tokens OAuth de usuarios legítimos para descargar información desde repositorios privados. La campaña fue detectada hace una semana y ya se han visto decenas de repositorios comprometidos, los cuales estaban usando aplicaciones OAuth mantenidas por Heroku y Travis-CI.
Mike Hanley, director de seguridad de GitHub, confirmó el incidente mencionando que incluso la plataforma usa algunas de las aplicaciones afectadas: “Nuestro análisis sugiere que los actores de amenazas podrían estar extrayendo los contenidos del repositorio privado descargado, al que tenía acceso el token OAuth robado, en busca de secretos que podrían usarse para pasar a otra infraestructura”.
La lista de aplicaciones afectadas incluye:
- Heroku Dashboard (ID: 145909)
- Heroku Dashboard (ID: 628778)
- Heroku Dashboard – Preview (ID: 313468)
- Heroku Dashboard – Classic (ID: 363831)
- Travis CI (ID: 9216)
El equipo de seguridad de GitHub identificó el acceso no autorizado a su infraestructura de producción npm el 12 de abril, cuando los hackers usaron una clave API de AWS comprometida. Esta clave podría haber sido obtenida al descargar algunos repositorios npm privados usando los tokens comprometidos.
Los tokens utilizados para el ataque fueron revocados cuando la plataforma identificó el compromiso. Hanley confirmó que el impacto del incidente incluye el acceso no autorizado a repositorios privados de GitHub.com, además del potencial acceso a paquetes npm en su almacenamiento AWS S3.
A pesar de que los hackers podrían haber robado información de los repositorios comprometidos, la plataforma ha concluido que ninguno de los paquetes fue modificado con fines maliciosos: “npm usa una infraestructura independiente de GitHub”, finalizó el mensaje de Hanley.
El equipo de seguridad de GitHub ya trabaja para notificar a los usuarios afectados, además de mantener una investigación activa sobre la intrusión. Para acelerar la investigación, GitHub recomienda a los usuarios revisar los registros de auditoría de sus organizaciones, además de los registros de seguridad de cada cuenta para identificar potenciales indicios de ataque.