Github bugün bir saldırganın, özel depolardan veri indirmek için çalınan OAuth kullanıcı belirteçlerini (Heroku ve Travis-CI'ye verildi) kullandığını ortaya koydu.
Bu kampanya ilk 12 Nisan 2022'de ilk görüldüğü için, tehdit aktörünün NPM dahil olmak üzere Heroku ve Travis-CI-Devaatlı OAuth uygulamalarını kullanarak onlarca kurban kuruluşundan elde edilen verilere zaten erişmiş ve çalınmıştır.
"Bu entegratörler tarafından tutulan uygulamalar GitHub'ın kendisi de dahil olmak üzere GitHub kullanıcıları tarafından kullanıldı," Bugün Mike Hanley, Github'daki Baş Güvenlik Görevlisi (STK) ortaya çıktı.
"Saldırganın bu belirteçleri GitHub'ın veya sistemlerinden bir uzlaşmasıyla birlikte aldığına inanmıyoruz, çünkü söz konusu belirteçler, GitHub tarafından orijinal, kullanılabilir formatlarında depolanmaz.
"Tehdit aktörünün diğer davranışlarının analizimizi, aktörlerin, çalınan OAuth belirteerinin erişebileceği, diğer altyapıya döndürmek için kullanılabilecek sırları için, çalınan OAuth belirtecinin erişebileceği, indirilen özel depo içeriğini inceleyebileceğini göstermektedir."
Hanley'e göre, etkilenmiş OAUTH uygulamalarının listesi şunları içerir:
GitHub Security, saldırgan bir AWS API anahtarını kullandıktan sonra 12 Nisan'da Gitub'un NPM üretim altyapısına yetkisiz erişimi tanımladı.
Saldırgan, çalınan OAuth belirteçleri kullanarak birden fazla özel NPM deposu indirdikten sonra API anahtarını aldı.
"Üçüncü taraf OAuth belirteçlerinin 13 Nisan akşamı akşamı, GitHub veya NPM tarafından depolanmayan daha geniş hırsızlığı keşfettiyken, GitHub ve NPM'nin GitHub ve NPM'nin bu tehlikeli uygulamaların iç kullanımı ile ilişkili belirteçleri iptal ederek Gitub ve NPM'yi korumak için hemen harekete geçtik" dedi. Hanley eklendi.
NPM organizasyonu üzerindeki etkisi, AWS S3 depolamasında özel Github.com depolarına ve NPM paketlerine "potansiyel erişim" için yetkisiz erişimi içerir.
Github, bir saldırganın, üçüncü taraf OAuth Integrator, Heroku ve Travis-CI'ye verilen çalınan OAuth kullanıcı belirteçlerini suistimal ettiğine dair kanıtları ortaya çıkardı. Github, NPM ve kullanıcılarımızın etkisi hakkında daha fazla bilgi edinin. https://t.co/eb7ijfjfh1
Saldırgan, tehlikeye atılan depolardan veri çalmayı başarırken, Github, paketlerin hiçbirinin değiştirilmediğini ve olayda hiçbir kullanıcı hesabı verisine veya kimlik bilgilerine ulaşılamadığına inanmaktadır.
"NPM, GitHub.com'dan tamamen ayrı bir altyapıyı kullanır; Github bu orijinal saldırıda etkilenmedi" dedi.
"Soruşturma devam etmelerine rağmen, diğer Github'a ait özel repoların saldırgan tarafından çalınan üçüncü taraf OAuth belirteçleri kullanılarak klonlandığına dair hiçbir kanıt bulduk."
Github, etkilenen tüm kullanıcıların ve organizasyonların ek bilgi ile tanımlandıkları için bilgilendirme üzerinde çalışıyor.
Kuruluşunuzun denetim günlüklerini ve kullanıcı hesabı güvenlik günlüklerini anormal, potansiyel kötü amaçlı aktivite için gözden geçirmelisiniz.
Github'in kullanıcılarını nasıl koruduğunu ve hangi müşterilerin ve kuruluşların Cuma günü yayınlanan güvenlik uyarılarında nasıl bilmesi gerektiğine dair daha fazla bilgi bulabilirsiniz.
Morgan Stanley müşteri hesapları sosyal mühendislik saldırılarında ihlal etti
ABD, kötü niyetli kriptoCurrency uygulamalarını kullanarak Lazarus Hacker'larını uyardı
Github, yaptırımlı şirketlerde Rus devlerinin hesaplarını askıya aldı
CISA siparişleri ajansları aktif olarak sömürülen VMware, Chrome böcekleri düzeltilecek
CISA, ORG'leri aktif olarak sömürülen Windows LPE hatasını düzeltmek için uyarır.
Kaynak: Bleeping Computer