Il servizio di hosting di repository basato su cloud GitHub venerdì ha rivelato di aver scoperto prove di un hacker senza nome che sfruttava i token utente OAuth rubati per scaricare dati privati non autorizzati da diverse organizzazioni.
“Un utente malintenzionato ha abusato dei token utente OAuth rubati emessi a due integratori OAuth di terze parti, Heroku e Travis-CI, per scaricare dati da dozzine di organizzazioni, tra cui NPM“, ha rivelato Mike Hanley di GitHub in un rapporto.
I token di accesso OAuth vengono spesso utilizzati da app e servizi per autorizzare l’accesso a parti specifiche dei dati di un utente e comunicare tra loro senza dover condividere le credenziali effettive. È uno dei metodi più comuni utilizzati per passare l’autorizzazione da un servizio Single Sign-On (SSO) a un’altra applicazione.
A partire dal 15 aprile 2022, l’elenco delle applicazioni OAuth interessate è il seguente:
- Dashboard di Heroku (ID: 145909)
- Dashboard di Heroku (ID: 628778)
- Dashboard di Heroku – Anteprima (ID: 313468)
- Dashboard di Heroku – Classico (ID: 363831) e
- Travis CI (ID: 9216)
Non si dice che i token OAuth siano stati ottenuti tramite una violazione di GitHub o dei suoi sistemi, ha affermato la società, poiché non memorizza i token nei loro formati originali.
Inoltre, GitHub ha avvertito che l’attore della minaccia potrebbe analizzare i contenuti del repository privato scaricato dalle entità vittime utilizzando queste app OAuth di terze parti per raccogliere segreti aggiuntivi che potrebbero quindi essere sfruttati per passare ad altre parti della loro infrastruttura.
Un attacco premeditato
La piattaforma di proprietà di Microsoft ha notato di aver trovato le prime prove della campagna di attacco il 12 aprile, quando ha riscontrato un accesso non autorizzato al suo ambiente di produzione NPM utilizzando una chiave API AWS compromessa.
Si ritiene che questa chiave API AWS sia stata ottenuta scaricando una serie di repository NPM privati non specificati utilizzando il token OAuth rubato da una delle due applicazioni OAuth interessate. GitHub ha affermato di aver da allora revocato i token di accesso associati alle app interessate.
“A questo punto, valutiamo che l’attaccante non abbia modificato alcun pacchetto o ottenuto l’accesso a dati o credenziali dell’account utente“, ha affermato la società, aggiungendo che sta ancora indagando per accertare se l’attaccante ha visualizzato o scaricato pacchetti privati.
GitHub ha anche affermato che sta attualmente lavorando per identificare e notificare tutti gli utenti e le organizzazioni vittime conosciute che potrebbero essere interessate a causa di questo incidente nelle prossime 72 ore.