La plate-forme d’h\u00e9bergement de code bas\u00e9e sur le cloud GitHub a d\u00e9crit la r\u00e9cente campagne d’attaque impliquant l’abus de jetons d’acc\u00e8s OAuth d\u00e9livr\u00e9s \u00e0 Heroku et Travis-CI comme \u00e9tant de nature “hautement cibl\u00e9e”.<\/p>\n
“Ce mod\u00e8le de comportement sugg\u00e8re que l’attaquant r\u00e9pertoriait uniquement les organisations afin d’identifier les comptes \u00e0 cibler de mani\u00e8re s\u00e9lective pour r\u00e9pertorier et t\u00e9l\u00e9charger des r\u00e9f\u00e9rentiels priv\u00e9s”, a d\u00e9clar\u00e9 Mike Hanley de GitHub. mentionn\u00e9<\/a> dans un article mis \u00e0 jour.<\/p>\n L’incident de s\u00e9curit\u00e9, d\u00e9couvert le 12 avril, concernait un attaquant non identifi\u00e9 utilisant des jetons d’utilisateur OAuth vol\u00e9s d\u00e9livr\u00e9s \u00e0 deux int\u00e9grateurs OAuth tiers, Heroku et Travis-CI, pour t\u00e9l\u00e9charger des donn\u00e9es de dizaines d’organisations, dont NPM.<\/p>\n La soci\u00e9t\u00e9 appartenant \u00e0 Microsoft a d\u00e9clar\u00e9 la semaine derni\u00e8re qu’elle \u00e9tait en train d’envoyer un dernier ensemble de notifications aux clients GitHub qui avaient les int\u00e9grations d’applications Heroku ou Travis CI OAuth autoris\u00e9es dans leurs comptes.<\/p>\n Selon une analyse d\u00e9taill\u00e9e \u00e9tape par \u00e9tape effectu\u00e9e par GitHub, l’adversaire aurait utilis\u00e9 les jetons d’application vol\u00e9s pour s’authentifier aupr\u00e8s de l’API GitHub, en l’utilisant pour r\u00e9pertorier tous les organisations d’utilisateurs concern\u00e9s<\/a>.<\/p>\n Cela a ensuite \u00e9t\u00e9 r\u00e9ussi en choisissant s\u00e9lectivement des cibles en fonction des organisations r\u00e9pertori\u00e9es, en les suivant en r\u00e9pertoriant les r\u00e9f\u00e9rentiels priv\u00e9s de comptes d’utilisateurs pr\u00e9cieux, avant de finalement passer au clonage de certains de ces r\u00e9f\u00e9rentiels priv\u00e9s.<\/p>\n La soci\u00e9t\u00e9 a \u00e9galement r\u00e9it\u00e9r\u00e9 que les jetons n’ont pas \u00e9t\u00e9 obtenus via une compromission de GitHub ou de ses syst\u00e8mes, et que les jetons ne sont pas stock\u00e9s dans leurs “formats originaux et utilisables”, qui pourraient \u00eatre utilis\u00e9s \u00e0 mauvais escient par un attaquant.<\/p>\n “Les clients doivent \u00e9galement continuer \u00e0 surveiller H\u00e9roku<\/a> et Travis CI<\/a> pour obtenir des mises \u00e0 jour sur leurs propres enqu\u00eates sur les applications OAuth concern\u00e9es \u00bb, a not\u00e9 GitHub.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\")
<\/a><\/div>\n