Le service d’hébergement de référentiels basé sur le cloud GitHub a révélé vendredi avoir découvert des preuves d’un adversaire anonyme capitalisant sur des jetons d’utilisateur OAuth volés pour télécharger sans autorisation des données privées de plusieurs organisations.
« Un attaquant a abusé de jetons d’utilisateur OAuth volés délivrés à deux intégrateurs OAuth tiers, Heroku et Travis-CI, pour télécharger des données de dizaines d’organisations, y compris NPM », a déclaré Mike Hanley de GitHub. divulgué dans un rapport.
Les jetons d’accès OAuth sont souvent utilisé par des applications et des services pour autoriser l’accès à des parties spécifiques des données d’un utilisateur et communiquer entre eux sans avoir à partager les informations d’identification réelles. C’est l’une des méthodes les plus couramment utilisées pour transmettre l’autorisation à partir d’une authentification unique (authentification unique) service vers une autre application.
Au 15 avril 2022, la liste des applications OAuth concernées est la suivante :
- Tableau de bord Heroku (ID : 145909)
- Tableau de bord Heroku (ID : 628778)
- Tableau de bord Heroku – Aperçu (ID : 313468)
- Tableau de bord Heroku – Classique (ID : 363831) et
- Travis CI (ID: 9216)
Les jetons OAuth n’auraient pas été obtenus via une violation de GitHub ou de ses systèmes, a déclaré la société, car elle ne stocke pas les jetons dans leurs formats d’origine utilisables.
De plus, GitHub a averti que l’acteur de la menace pourrait analyser le contenu du référentiel privé téléchargé des entités victimes à l’aide de ces applications OAuth tierces pour glaner des secrets supplémentaires qui pourraient ensuite être exploités pour pivoter vers d’autres parties de leur infrastructure.
La plate-forme appartenant à Microsoft a noté qu’elle avait trouvé les premières preuves de la campagne d’attaque le 12 avril lorsqu’elle a rencontré un accès non autorisé à son environnement de production NPM à l’aide d’une clé d’API AWS compromise.
Cette clé d’API AWS aurait été obtenue en téléchargeant un ensemble de référentiels NPM privés non spécifiés à l’aide du jeton OAuth volé à partir de l’une des deux applications OAuth concernées. GitHub a déclaré avoir depuis révoqué les jetons d’accès associés aux applications concernées.
« À ce stade, nous estimons que l’attaquant n’a modifié aucun package ni obtenu l’accès à des données ou informations d’identification de compte d’utilisateur », a déclaré la société, ajoutant qu’elle enquêtait toujours pour déterminer si l’attaquant avait consulté ou téléchargé des packages privés.
GitHub a également déclaré qu’il s’efforçait actuellement d’identifier et de notifier tous les utilisateurs victimes connus et les organisations susceptibles d’être touchés par cet incident au cours des 72 prochaines heures.