La plataforma de alojamiento de c\u00f3digo basada en la nube, GitHub, describi\u00f3 la reciente campa\u00f1a de ataque que involucra el abuso de tokens de acceso OAuth emitidos a Heroku y Travis-CI como de naturaleza “altamente dirigida”.<\/p>\n
“Este patr\u00f3n de comportamiento sugiere que el atacante solo estaba enumerando organizaciones para identificar cuentas a las que apuntar selectivamente para enumerar y descargar repositorios privados”, Mike Hanley de GitHub. dicho<\/a> en una publicaci\u00f3n actualizada.<\/p>\n El incidente de seguridad, que se descubri\u00f3 el 12 de abril, estaba relacionado con un atacante no identificado que aprovechaba tokens de usuario de OAuth robados emitidos a dos integradores de OAuth de terceros, Heroku y Travis-CI, para descargar datos de docenas de organizaciones, incluida NPM.<\/p>\n La compa\u00f1\u00eda propiedad de Microsoft dijo la semana pasada que est\u00e1 en el proceso de enviar un conjunto final de notificaciones a los clientes de GitHub que ten\u00edan las integraciones de la aplicaci\u00f3n Heroku o Travis CI OAuth autorizadas en sus cuentas.<\/p>\n Seg\u00fan un an\u00e1lisis detallado paso a paso realizado por GitHub, se dice que el adversario emple\u00f3 los tokens de la aplicaci\u00f3n robados para autenticarse en la API de GitHub, us\u00e1ndolos para enumerar todos los organizaciones de usuarios afectados<\/a>.<\/p>\n Luego, esto se logr\u00f3 eligiendo objetivos de forma selectiva en funci\u00f3n de las organizaciones enumeradas, siguiendo enumerando los repositorios privados de cuentas de usuarios valiosos, antes de pasar finalmente a clonar algunos de esos repositorios privados.<\/p>\n La compa\u00f1\u00eda tambi\u00e9n reiter\u00f3 que los tokens no se obtuvieron a trav\u00e9s de un compromiso de GitHub o sus sistemas, y que los tokens no se almacenan en sus “formatos originales y utilizables”, que podr\u00edan ser mal utilizados por un atacante.<\/p>\n “Los clientes tambi\u00e9n deben continuar monitoreando Heroku<\/a> y Travis CI<\/a> para obtener actualizaciones sobre sus propias investigaciones sobre las aplicaciones OAuth afectadas”, se\u00f1al\u00f3 GitHub.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\")
<\/a><\/div>\n