Vendredi, le service d’h\u00e9bergement de r\u00e9f\u00e9rentiels bas\u00e9 sur le cloud GitHub a partag\u00e9 des d\u00e9tails suppl\u00e9mentaires sur le vol de jetons OAuth d’int\u00e9gration GitHub le mois dernier, notant que l’attaquant a pu acc\u00e9der aux donn\u00e9es NPM internes et \u00e0 ses informations client.<\/p>\n
“En utilisant des jetons d’utilisateur OAuth vol\u00e9s provenant de deux int\u00e9grateurs tiers, Heroku et Travis CI, l’attaquant a pu escalader l’acc\u00e8s \u00e0 l’infrastructure NPM”, a d\u00e9clar\u00e9 Greg Ose. a dit<\/a>ajoutant que l’attaquant a ensuite r\u00e9ussi \u00e0 obtenir un certain nombre de fichiers –<\/p>\n En cons\u00e9quence, GitHub prend l’initiative de r\u00e9initialiser les mots de passe des utilisateurs impact\u00e9s. Il est \u00e9galement pr\u00e9vu d’informer directement les utilisateurs des manifestes de packages priv\u00e9s expos\u00e9s, des m\u00e9tadonn\u00e9es et des noms et versions des packages priv\u00e9s au cours des prochains jours.<\/p>\n La cha\u00eene d’attaque, telle que d\u00e9taill\u00e9e par GitHub, impliquait que l’attaquant abusait des jetons OAuth pour exfiltrer des r\u00e9f\u00e9rentiels NPM priv\u00e9s contenant des cl\u00e9s d’acc\u00e8s AWS, puis les exploitait pour obtenir un acc\u00e8s non autoris\u00e9 \u00e0 l’infrastructure du registre.<\/p>\n Cela dit, aucun des packages publi\u00e9s dans le registre n’aurait \u00e9t\u00e9 modifi\u00e9 par l’adversaire et aucune nouvelle version de packages existants n’a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9e dans le r\u00e9f\u00e9rentiel.<\/p>\n De plus, la soci\u00e9t\u00e9 a d\u00e9clar\u00e9 que l’enqu\u00eate sur l’attaque de jeton OAuth a r\u00e9v\u00e9l\u00e9 un probl\u00e8me sans rapport qui impliquait la d\u00e9couverte d’un “nombre non sp\u00e9cifi\u00e9 d’informations d’identification d’utilisateur en clair pour le registre npm qui ont \u00e9t\u00e9 captur\u00e9es dans les journaux internes suite \u00e0 l’int\u00e9gration de npm dans les syst\u00e8mes de journalisation GitHub”.<\/p>\n GitHub a not\u00e9 qu’il avait att\u00e9nu\u00e9 le probl\u00e8me avant la d\u00e9couverte de la campagne d’attaque et qu’il avait purg\u00e9 les journaux contenant les informations d’identification en clair.<\/p>\n\n
![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/Fronton-un-botnet-IoT-russe-concu-pour-mener-des-campagnes.png\")
<\/a><\/div>\n
![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\")
<\/a><\/div>\n