La plate-forme d’hébergement de code basée sur le cloud GitHub a décrit la récente campagne d’attaque impliquant l’abus de jetons d’accès OAuth délivrés à Heroku et Travis-CI comme étant de nature “hautement ciblée”.
“Ce modèle de comportement suggère que l’attaquant répertoriait uniquement les organisations afin d’identifier les comptes à cibler de manière sélective pour répertorier et télécharger des référentiels privés”, a déclaré Mike Hanley de GitHub. mentionné dans un article mis à jour.
L’incident de sécurité, découvert le 12 avril, concernait un attaquant non identifié utilisant des jetons d’utilisateur OAuth volés délivrés à deux intégrateurs OAuth tiers, Heroku et Travis-CI, pour télécharger des données de dizaines d’organisations, dont NPM.
La société appartenant à Microsoft a déclaré la semaine dernière qu’elle était en train d’envoyer un dernier ensemble de notifications aux clients GitHub qui avaient les intégrations d’applications Heroku ou Travis CI OAuth autorisées dans leurs comptes.
Selon une analyse détaillée étape par étape effectuée par GitHub, l’adversaire aurait utilisé les jetons d’application volés pour s’authentifier auprès de l’API GitHub, en l’utilisant pour répertorier tous les organisations d’utilisateurs concernés.
Cela a ensuite été réussi en choisissant sélectivement des cibles en fonction des organisations répertoriées, en les suivant en répertoriant les référentiels privés de comptes d’utilisateurs précieux, avant de finalement passer au clonage de certains de ces référentiels privés.
La société a également réitéré que les jetons n’ont pas été obtenus via une compromission de GitHub ou de ses systèmes, et que les jetons ne sont pas stockés dans leurs “formats originaux et utilisables”, qui pourraient être utilisés à mauvais escient par un attaquant.
“Les clients doivent également continuer à surveiller Héroku et Travis CI pour obtenir des mises à jour sur leurs propres enquêtes sur les applications OAuth concernées », a noté GitHub.