Un mystérieux pirate informatique fait sortir clandestinement des données privées chez GitHub

VPN
(Crédit photo: voyager624 / Shutterstock)

Un cybercriminel, encore inconnu par les services de sécurité informatique usuels, récolte actuellement des données à partir de dépôts de code privés. Ce à l'aide de jetons d'utilisateur OAuth volés via diverses applications affectées, à l’instar d’Heroku et de Travic-CI. Comme le rapporte GitHub, des "dizaines de victimes" sont concernées.

"Les applications concernées étaient exploitées par des utilisateurs de GitHub, y compris le personnel de GitHub lui-même", a déclaré Mike Hanley, responsable de la sécurité chez GitHub.

Les comptes utilisateurs GitHub sont-ils menacés ?

Hanley poursuit en expliquant que le hacker n'a pas obtenu ces jetons à la suite d'une brèche chez GitHub, la plateforme ne stockant pas les jetons dans leur format original et utilisable.

"Il est possible d’exploiter le contenu d’un dépôt privé téléchargé, en ayant recours à des jetons OAuth volés. Ce contenu peut, par la suite,permettre au cybercriminel de pivoter vers d’autres infrastructures sensibles", explique-t-il.

Hanley a listé les applications OAuth affectées. Soit Heroku Dashboard (ID : 145909 et ID : 628778), Heroku Dashboard - Preview (ID : 313468), Heroku Dashboard - Classic (ID : 363831), et Travis CI (ID : 9216).

Le cybercriminel responsable a été repéré le 12 avril, lorsqu'il a essayé d'utiliser une clé API AWS compromise pour accéder à l'infrastructure de production npm de GitHub. On suppose qu’il a localisé la clé API en téléchargeant plusieurs dépôts npm privés.

"En découvrant le vol plus large de jetons OAuth tiers non stockés par GitHub ou npm dans la soirée du 13 avril, nous avons immédiatement pris des mesures pour protéger GitHub et npm en révoquant les jetons associés à l'utilisation interne de GitHub et npm de ces applications compromises", assure encore Hanley.

La personne à l'origine de l'attaque a réussi à voler des données depuis les dépôts affectés, mais n'a probablement pas pu modifier les paquets, ni obtenir des informations personnelles ou des mots de passe liés à des comptes utilisateurs de GitHub.

"npm utilise une infrastructure complètement distincte de celle de GitHub.com ; GitHub n'a pas été affecté par cette attaque initiale", garantit Hanley. "Bien que l'enquête se poursuive, nous n'avons trouvé aucune preuve impliquant le clonage d'autres dépôts privés appartenant à GitHub."

Via BleepingComputer (s'ouvre dans un nouvel onglet)

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.