[ad_1]
O GitHub compartilhou uma linha do tempo da violação de segurança deste mês, quando um agente de ameaças obteve acesso e roubou repositórios privados pertencentes a dezenas de organizações.
O invasor usou tokens de aplicativos OAuth roubados emitidos para Heroku e Travis-CI para violar as contas de clientes do GitHub.com com integrações autorizadas de aplicativos Heroku ou Travis CI OAuth.
O diretor de segurança do GitHub, Mike Hanley, diz que a empresa ainda não encontrou evidências de que seus sistemas foram violados desde que o incidente foi descoberto em 12 de abril de 2022.
O GitHub ainda está trabalhando para alertar todos os usuários e organizações afetados, e a empresa está enviando notificações finais para os usuários afetados do GitHub.com a partir de hoje.
Uma análise do comportamento do invasor, ao ter acesso a contas comprometidas do Github, mostra que as seguintes atividades ocorreram no GitHub.com usando os tokens de aplicativo OAuth roubados:
- O invasor se autenticou na API do GitHub usando tokens OAuth roubados emitidos para Heroku e Travis CI.
- Para a maioria das pessoas que tiveram os aplicativos Heroku ou Travis CI OAuth afetados autorizados em suas contas do GitHub, o invasor listou todas as organizações do usuário.
- O invasor então escolheu seletivamente os alvos com base nas organizações listadas.
- O invasor listou os repositórios privados das contas de usuário de interesse.
- O invasor então clonou alguns desses repositórios privados.
“Esse padrão de comportamento sugere que o invasor estava apenas enumerando organizações para identificar contas para direcionar seletivamente para listar e baixar repositórios privados”, disse o GitHub.
“O GitHub acredita que esses ataques foram altamente direcionados com base nas informações disponíveis e em nossa análise do comportamento do invasor usando tokens OAuth comprometidos emitidos para Travis CI e Heroku.”
Encontrar evidências de atividade maliciosa
O GitHub divulgou a violação na tarde de 15 de abril, três dias após descobrir o ataque, quando o agente malicioso acessou a infraestrutura de produção npm do GitHub.
No estágio inicial do ataque, o agente da ameaça usou uma chave de API da AWS comprometida adquirida após o download de vários repositórios npm privados usando tokens de usuário OAuth roubados.
Embora GitHub, Travis CI e Heroku tenham revogado todos os tokens OAuth para bloquear mais acesso após descobrir o ataque, as organizações afetadas são incentivadas a continuar monitorando seus logs de auditoria e logs de segurança da conta de usuário em busca de atividades potencialmente maliciosas relacionadas a este incidente.
O GitHub compartilhou as seguintes orientações com clientes potencialmente afetados para ajudá-los a investigar os logs em busca de evidências de exfiltração de dados ou atividade maliciosa:
- Verifique todos os seus repositórios privados em busca de segredos ou credenciais armazenados neles. Existem várias ferramentas que podem ajudar nessa tarefa, como o scan secreto do GitHub e o truffehog.
- Revise os aplicativos OAuth que você autorizou para sua conta pessoal ou que estão autorizados a acessar sua organização e exclua tudo o que você não precisa mais.
- Siga as diretrizes do GitHub para fortalecer a postura de segurança da sua organização do GitHub.
- Revise a atividade da sua conta, tokens de acesso pessoal, aplicativos OAuth e chaves SSH para qualquer atividade ou alteração que possa vir do invasor.
- Perguntas adicionais devem ser direcionadas ao suporte do GitHub.
Você pode encontrar mais informações sobre como o GitHub respondeu para proteger seus clientes e o que as organizações precisam saber no alerta de segurança inicial.
[ad_2]
