{"id":174266,"date":"2022-05-27T19:13:45","date_gmt":"2022-05-27T19:13:45","guid":{"rendered":"https:\/\/teknomers.com\/es\/cerca-de-100000-credenciales-de-usuarios-de-npm-robadas-en-github-oauth-breach\/"},"modified":"2022-05-27T19:13:50","modified_gmt":"2022-05-27T19:13:50","slug":"cerca-de-100000-credenciales-de-usuarios-de-npm-robadas-en-github-oauth-breach","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/cerca-de-100000-credenciales-de-usuarios-de-npm-robadas-en-github-oauth-breach\/","title":{"rendered":"Cerca de 100,000 credenciales de usuarios de NPM robadas en GitHub OAuth Breach"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>El servicio de alojamiento de repositorios basado en la nube GitHub comparti\u00f3 el viernes detalles adicionales sobre el robo de tokens OAuth de integraci\u00f3n de GitHub el mes pasado, y se\u00f1al\u00f3 que el atacante pudo acceder a los datos internos de NPM y a la informaci\u00f3n de sus clientes.<\/p>\n<p>&#8220;Usando tokens de usuario de OAuth robados que se originaron en dos integradores de terceros, Heroku y Travis CI, el atacante pudo escalar el acceso a la infraestructura de NPM&#8221;, Greg Ose <a rel=\"nofollow noopener\" href=\"https:\/\/github.blog\/2022-05-26-npm-security-update-oauth-tokens\/\" target=\"_blank\">dijo<\/a>agregando que el atacante logr\u00f3 obtener una serie de archivos:<\/p>\n<ul>\n<li>Una copia de seguridad de la base de datos de skimdb.npmjs.com que consta de datos al 7 de abril de 2021, incluido un archivo de informaci\u00f3n de usuario de 2015 y todos los manifiestos y metadatos de paquetes de NPM privados.  El archivo conten\u00eda nombres de usuario, hash de contrase\u00f1as y direcciones de correo electr\u00f3nico de NPM para aproximadamente 100,000 usuarios.<\/li>\n<li>Un conjunto de archivos CSV que incluyen un archivo de todos los nombres y n\u00fameros de versi\u00f3n de las versiones publicadas de todos los paquetes privados de NPM a partir del 10 de abril de 2022, y <\/li>\n<li>Un &#8220;peque\u00f1o subconjunto&#8221; de paquetes privados de dos organizaciones<\/li>\n<\/ul>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/backup-github\" target=\"_blank\" title=\"DevOps backup\"><img loading=\"lazy\" decoding=\"async\" alt=\"La seguridad cibern\u00e9tica\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/Microsoft-advierte-sobre-los-skimmers-web-que-imitan-Google-Analytics.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Como consecuencia, GitHub est\u00e1 dando el paso de restablecer las contrase\u00f1as de los usuarios afectados.  Tambi\u00e9n se espera que notifique directamente a los usuarios con manifiestos de paquetes privados expuestos, metadatos y nombres y versiones de paquetes privados durante los pr\u00f3ximos d\u00edas.<\/p>\n<p>La cadena de ataque, como lo detalla GitHub, implic\u00f3 que el atacante abusara de los tokens de OAuth para exfiltrar repositorios privados de NPM que conten\u00edan claves de acceso de AWS y, posteriormente, aprovecharlos para obtener acceso no autorizado a la infraestructura del registro.<\/p>\n<p>Dicho esto, se cree que el adversario no modific\u00f3 ninguno de los paquetes publicados en el registro ni se cargaron nuevas versiones de paquetes existentes en el repositorio.<\/p>\n<p>Adem\u00e1s, la compa\u00f1\u00eda dijo que la investigaci\u00f3n sobre el ataque del token OAuth revel\u00f3 un problema no relacionado que involucr\u00f3 el descubrimiento de una &#8220;cantidad no especificada de credenciales de usuario de texto sin formato para el registro npm que se capturaron en registros internos luego de la integraci\u00f3n de npm en los sistemas de registro de GitHub&#8221;.<\/p>\n<p>GitHub se\u00f1al\u00f3 que mitig\u00f3 el problema antes del descubrimiento de la campa\u00f1a de ataque y que elimin\u00f3 los registros que conten\u00edan las credenciales de texto sin formato.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La seguridad cibern\u00e9tica\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>El robo de OAuth, que GitHub descubri\u00f3 el 12 de abril, involucr\u00f3 a un actor no identificado que aprovech\u00f3 los tokens de usuario de OAuth robados emitidos a dos integradores de OAuth de terceros, Heroku y Travis-CI, para descargar datos de docenas de organizaciones, incluida NPM.<\/p>\n<p>La subsidiaria propiedad de Microsoft, a principios de este mes, calific\u00f3 la campa\u00f1a de &#8220;altamente dirigida&#8221; por naturaleza, y agreg\u00f3 que &#8220;el atacante solo estaba enumerando organizaciones para identificar cuentas a las que apuntar selectivamente para enumerar y descargar repositorios privados&#8221;.<\/p>\n<p>Desde entonces, Heroku ha reconocido que el robo de tokens OAuth de integraci\u00f3n de GitHub implic\u00f3 adem\u00e1s el acceso no autorizado a una base de datos interna de clientes, lo que llev\u00f3 a la empresa a restablecer todas las contrase\u00f1as de los usuarios.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/05\/nearly-100000-npm-users-credentials.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>El servicio de alojamiento de repositorios basado en la nube GitHub comparti\u00f3 el viernes detalles adicionales sobre el<\/p>\n","protected":false},"author":1,"featured_media":174267,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,44750,2083,4664,42020,4662,50201,4668,4667,4654,4658,4659,4653,4655,7359,50203,4663,22045,4666,4665,7528,4660],"class_list":["post-174266","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-breach","tag-cerca","tag-como-hackear","tag-credenciales","tag-filtracion-de-datos","tag-github","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-npm","tag-oauth","tag-programa-malicioso-ransomware","tag-robadas","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-usuarios","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/174266","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=174266"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/174266\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/174267"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=174266"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=174266"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=174266"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}