GitHub notó el lunes que había notificado a todas las víctimas de una campaña de ataque, que involucró a una parte no autorizada que descargó contenidos de repositorios privados aprovechando los tokens de usuario de OAuth de terceros mantenidos por Heroku y Travis CI.
«Los clientes también deben continuar monitoreando a Heroku y Travis CI para obtener actualizaciones sobre sus propias investigaciones sobre las aplicaciones OAuth afectadas», dijo la compañía. dicho en una publicación actualizada.
El incidente salió a la luz originalmente el 12 de abril cuando GitHub descubrió señales de que un actor malicioso había aprovechado los tokens de usuario de OAuth robados emitidos a Heroku y Travis-CI para descargar datos de docenas de organizaciones, incluida NPM.
La plataforma propiedad de Microsoft también dijo que alertará a los clientes de inmediato si la investigación en curso identifica víctimas adicionales. Además, advirtió que el adversario también puede estar excavando en los repositorios en busca de secretos que podrían usarse en otros ataques.
Heroku, que retiró el soporte para la integración de GitHub a raíz del incidente, recomendado que los usuarios tengan la opción de integrar sus implementaciones de aplicaciones con Git u otros proveedores de control de versiones como GitLab o Bitbucket.
Proveedor de servicios de integración continua alojado Travis CI, en un similar consultivo publicado el lunes, declaró que había «revocado todas las claves de autorización y tokens que impedían cualquier acceso adicional a nuestros sistemas».
Al afirmar que no se expusieron los datos de los clientes, la compañía reconoció que los atacantes violaron un servicio de Heroku y accedieron a la clave OAuth de una aplicación privada que se usa para integrar las aplicaciones Heroku y Travis CI.
Pero Travis CI reiteró que no encontró evidencia de intrusión en un repositorio privado de clientes o que los actores de amenazas obtuvieron acceso injustificado al código fuente.
«Dados los datos que teníamos y por precaución, Travis CI revocó y volvió a emitir todas las claves y tokens de autenticación de clientes privados que integran Travis CI con GitHub para garantizar que no se comprometan los datos de los clientes», dijo la compañía.