Le service d’hbergement de rfrentiels bas sur le cloud GitHub a partag vendredi des dtails supplmentaires sur le vol de ses jetons OAuth d’intgration le mois dernier, notant que l’attaquant a pu accder aux donnes internes de NPM et ses informations clients. En utilisant des jetons d’utilisateur OAuth vols, provenant de deux intgrateurs tiers, Heroku et Travis CI, l’attaquant a t en mesure d’escalader l’accs l’infrastructure de NPM , a dclar Greg Ose, ajoutant que le cybercriminel a ensuite russi obtenir un certain nombre de fichiers.
Une sauvegarde de la base de donnes de skimdb.npmjs.com compose de donnes en date du 7 avril 2021, y compris une archive des informations sur les utilisateurs depuis 2015 et tous les manifestes de paquets NPM privs et les mtadonnes des paquets. L’archive contenait les noms d’utilisateurs NPM, les hachages de mots de passe et les adresses lectroniques d’environ 100 000 utilisateurs. Un ensemble de fichiers CSV comprenant une archive de tous les noms et numros de version des versions publies de tous les paquets privs de NPM au 10 avril 2022, et en consquence, GitHub prend la mesure de rinitialiser les mots de passe des utilisateurs concerns.
Il est galement prvu d’informer directement les utilisateurs dont les manifestes de paquets privs, les mtadonnes et les noms et versions de paquets privs ont t exposs au cours des deux prochains jours. La chane d’attaque, telle que dtaille par GitHub, implique que l’attaquant abuse des jetons OAuth pour exfiltrer les dpts NPM privs contenant les cls d’accs AWS, et les utilise ensuite pour obtenir un accs non autoris l’infrastructure du registre.
Cela dit, aucun des paquets publis dans le registre n’aurait t modifi par l’adversaire et aucune nouvelle version de paquets existants n’a t tlcharge dans le rfrentiel. En outre, la socit a dclar que l’enqute sur l’attaque par jeton OAuth a rvl un problme sans rapport avec la dcouverte d’un nombre non spcifi d’informations d’identification de l’utilisateur en texte clair pour le registre npm qui ont t captures dans les journaux internes aprs l’intgration de npm dans les systmes de journalisation de GitHub .
GitHub a indiqu qu’il avait attnu le problme avant la dcouverte de la campagne d’attaque et qu’il avait purg les journaux contenant les informations d’identification en texte clair. Le vol OAuth, que GitHub a dcouvert le 12 avril, concernait un acteur non identifi profitant de jetons d’utilisateur OAuth vols dlivrs deux intgrateurs OAuth tiers, Heroku et Travis CI, pour tlcharger des donnes provenant de dizaines d’organisations, dont NPM.
La filiale dtenue par Microsoft, au dbut du mois, a qualifi la campagne de nature hautement cible , ajoutant que l’attaquant ne faisait que rpertorier les organisations afin d’identifier les comptes cibler slectivement pour rpertorier et tlcharger des dpts privs. Heroku a depuis reconnu que le vol des jetons OAuth d’intgration GitHub impliquait en outre un accs non autoris une base de donnes interne de clients, ce qui a incit l’entreprise rinitialiser tous les mots de passe des utilisateurs.
Accs non autoris l’infrastructure npm partir de jetons d’utilisateur OAuth vols
Le 12 avril, la scurit de GitHub a lanc une enqute qui a permis de dcouvrir des preuves qu’un attaquant a abus de jetons d’utilisateur OAuth vols dlivrs deux intgrateurs OAuth tiers, Heroku et Travis CI, pour tlcharger des donnes de dizaines d’organisations GitHub. L’une des organisations victimes touches tait npm. Nous ne pensons pas que l’attaquant ait obtenu ces jetons via une compromission de GitHub ou de ses systmes, car les jetons en question ne sont pas stocks par GitHub dans leurs formats originaux et utilisables , dclare GitHub.
Aprs la dcouverte de la compromission initiale de npm, GitHub a tudi l’impact sur npm. Sur la base de cette analyse, nous avons la preuve que l’acteur a pu accder aux donnes internes de npm et aux informations des clients de npm. Lisez la suite pour en savoir plus. En utilisant sa base initiale de jetons d’utilisateur OAuth pour GitHub.com, l’acteur a pu exfiltrer un ensemble de dpts npm privs, dont certains contenaient des secrets tels que des cls d’accs AWS.
En utilisant l’une de ces cls d’accs AWS, l’acteur a pu accder l’infrastructure AWS de npm Grce cet accs l’infrastructure AWS de npm, l’acteur de la menace a pu exfiltrer une ancienne sauvegarde du miroir « skimdb.npmjs.com », qui comprenait des mtadonnes et des manifestes de paquets pour tous les paquets publics et privs du registre npm au 7 avril 2021. Ces donnes exfiltres comprennent les README, l’historique des versions des paquets, les adresses lectroniques des mainteneurs et les scripts d’installation des paquets, mais PAS les artefacts rels des paquets, c’est–dire les archives elles-mmes.
Cette sauvegarde de base de donnes contenait galement une archive d’informations sur les utilisateurs de npm datant de 2015. Nous avons identifi qu’environ 100 000 dtails de connexion d’utilisateurs de npm, y compris les noms de comptes, les adresses e-mail et les hachages de mots de passe, faisaient partie de cette archive. Les hachages de mots de passe de ces donnes archives ont t gnrs l’aide d’algorithmes PBKDF2 ou SHA1 sals prcdemment utiliss par le registre npm. Ces algorithmes de hachage faibles n’ont pas t utiliss pour stocker les mots de passe des utilisateurs de npm depuis que le registre npm a commenc utiliser bcrypt en 2017.
Les mots de passe appartenant aux utilisateurs impacts ont t rinitialiss et nous sommes en train de notifier ces utilisateurs par e-mail directement. Depuis le 1er mars 2022, le registre npm a activ la vrification par courriel sur tous les comptes qui n’ont pas l’option 2FA active. Grce cette protection supplmentaire, il ne sera pas possible de compromettre un compte npm sans avoir accs l’adresse lectronique associe au compte (ou au second facteur si la fonction 2FA est active).
Au cours de notre enqute, nous avons galement dtermin que l’acteur a exfiltr un ensemble de fichiers CSV d’inventaire npm contenant des listes de rpertoires des buckets S3 stockant des paquets pour le registre npm. Ces fichiers exposaient les noms de paquets privs et les versions publies tels que stocks sur le registre npm la date du 10 avril 2022.
Enfin, l’acteur de la menace a exfiltr un petit sous-ensemble de contenus de paquets privs appartenant deux organisations spcifiques. GitHub a inform directement ces deux clients concerns de leur exposition. Comme le cybercriminel avait accs aux ressources S3 qui stockent le contenu des paquets npm, nous avons galement examin l’intgrit de ces paquets sur le registre npm. Sur la base de l’analyse des journaux et des vnements, ainsi que de la vrification du hachage des paquets effectue sur toutes les versions de tous les paquets, GitHub est actuellement convaincu que l’acteur n’a modifi aucun paquet publi dans le registre ni publi de nouvelles versions de paquets existants.
Informations d’identification en texte clair stockes dans des journaux internes
Les mots de passe des utilisateurs concerns par la sauvegarde de la base de donnes ont t rinitialiss et ces utilisateurs en sont informs. Les deux organisations dont les paquets privs ont t vols ont t informes immdiatement aprs que l’analyse a confirm l’activit. Au cours des prochains jours, nous informerons directement les personnes dont les manifestes de paquets privs, les mtadonnes, les noms et les versions de paquets privs ont t exposs. Nous mettrons galement jour cet article de blog lorsque toutes les notifications auront t envoyes. Si vous n’avez reu aucun de ces courriels de notre part, nous n’avons aucune preuve que l’attaquant a accd vos donnes.
Sans rapport avec l’attaque par jeton OAuth, nous avons aussi rcemment dcouvert en interne le stockage d’informations d’identification en texte clair dans le systme de journalisation interne de GitHub pour les services npm. Nous avons attnu ce problme et purg les journaux contenant les informations d’identification en texte clair avant cette attaque sur npm. Notre enqute initiale et actuelle a conclu que seuls les employs internes de GitHub avaient accs ces donnes au moment de l’exposition. Bien qu’il n’y ait pas eu de compromission connue, la confidentialit et la scurit des utilisateurs sont essentielles pour maintenir la confiance, et nous voulons rester transparents mme sur des vnements comme ceux-ci qui vont l’encontre des meilleures pratiques de scurit. C’est dans cet esprit que nous fournissons les informations ci-dessous.
Source : GitHub
Et vous ?
Et vous ?
Utilisez-vous GitHub ?
Quel est votre avis sur le sujet ?
Voir aussi :