GitHub es uno de los repositorios más grandes en todo el mundo del software de código abierto y privado. Desde su lanzamiento en 2008, el repositorio ha crecido de manera notable, y actualmente cuenta con 75 mil millones de descargas al mes. Pero como siempre, los cibercriminales están buscando debilidades en diversos sistemas y organizaciones para después robar información valiosa, en este caso de repositorios en GitHub para luego venderlos y obtener recursos monetarios.

GitHub, en su reporte de seguridad del 18 de abril del presente año, confirmó que un grupo de hackers estaban usando tokens OAuth de usuarios legítimos de Heroku y Travis CI para descargar información de repositorios privados.

El equipo de seguridad de GitHub identificó un acceso no autorizado a su infraestructura de producción npm el 12 de abril, cuando los cibercriminales usaron una clave API de AWS comprometida. Esta clave podría haber sido obtenida al descargar algunos repositorios npm privados usando los tokens comprometidos.

Los tokens utilizados para el ataque fueron revocados cuando la plataforma identificó el compromiso. Hanley confirmó que el impacto del incidente incluye el acceso no autorizado a repositorios privados de GitHub.com, además del potencial acceso a paquetes npm en su almacenamiento AWS S3.

El director de seguridad de GitHub mencionó: “Nuestro análisis sugiere que los hackers podrían estar extrayendo los contenidos del repositorio privado comprometido, al que se tenía acceso mediante el token OAuth robado, en busca de secretos que podrían usarse para pasar a otra infraestructura”.

A pesar de que los cibercriminales podrían haber robado información de los repositorios comprometidos, la plataforma ha concluido que ninguno de los paquetes fue modificado con fines maliciosos: “npm usa una infraestructura independiente de GitHub”, finalizó el mensaje de Hanley.

El equipo de seguridad en la plataforma ya trabaja para notificar a los usuarios afectados, además de mantener una investigación activa sobre la intrusión. Para acelerar la investigación, GitHub recomienda a los usuarios revisar los registros de auditoría de sus organizaciones, además de los registros de seguridad de cada cuenta para identificar potenciales indicios de ataque.

Referencias: