O GitHub relatou que um agente mal-intencionado obteve acesso a um conjunto de repositórios usados no planejamento e desenvolvimento do GitHub Desktop e do editor de texto e código-fonte Atom.
O repositório de código-fonte disse que tomou conhecimento do violação de dados depois que “acesso não autorizado” foi detectado em seus servidores em 7 de dezembro de 2022. Um conjunto de certificados de assinatura de código criptografados foi roubado durante uma violação. O GitHub informou que os certificados eram protegidos por senha e não havia “nenhuma evidência de uso malicioso”.
O hacker obteve acesso ao repositórios de código-fonte em 6 de dezembro de 2022, após usar um Personal Access Token (PAT) comprometido associado a uma conta de máquina para clonar repositórios de seu Atom, desktop e “outras organizações obsoletas de propriedade do GitHub”.
Como medida preventiva, o GitHub disse que “revogará os certificados expostos usados para os aplicativos GitHub Desktop e Atom”, o que significa que os usuários devem atualizar seus aplicativos antes de 2 de fevereiro de 2023 para continuar a usá-los.
Ataque de phishing CircleCI contra o GitHub
Em 16 de setembro de 2022, o GitHub relatou um ataque de phishing que envolvia um ator mal-intencionado se passando por integração de código e plataforma de entrega CircleCI para coletar credenciais de login e códigos de autenticação de funcionários e obter acesso a várias contas de usuário.
O site de phishing usado pelo hacker retransmitiu códigos de autenticação de dois fatores baseados em tempo (TOTP) para o hacker em tempo real, permitindo que eles obtivessem acesso a contas protegidas pela autenticação de dois fatores TOTP. Contas protegidas por chaves de segurança de hardware não eram vulneráveis a esse ataque.
Durante o ataque, o agente mal-intencionado conseguiu obter acesso e baixar vários repositórios de código privado e usar técnicas para preservar o acesso à conta, mesmo no caso de o usuário ou organização comprometido alterar sua senha.
Ataque à cadeia de suprimentos do GitHub afeta 83 milhões de desenvolvedores
Em 3 de agosto de 2022, um ataque cibernético contra o GitHub foi descoberto pelo desenvolvedor de software Stephen Lacy. Durante o ataque, um malfeitor clonou e adicionou código malicioso a mais de 35.000 repositórios do GitHub, mantendo o código-fonte original do código.
Quase 40 por cento (13.000) dos repositórios afetados originaram-se de uma única organização, conhecida como “redhat-operator-ecosystem” no site, uma paródia do RedHat OpenShift Ecosystem.
Estou descobrindo o que parece ser um enorme ataque de malware generalizado em @github.
– Atualmente, mais de 35 mil repositórios estão infectados
– Até agora encontrado em projetos como: crypto, golang, python, js, bash, docker, k8s
– É adicionado a scripts npm, imagens docker e documentos de instalação pic.twitter.com/rq3CBDw3r9—Stephen Lacy (@stephenlacy) 3 de agosto de 2022
Os projetos clonados tentaram induzir os usuários a clicar neles falsificando contas de usuário genuínas, usando nomes muito semelhantes aos projetos originais dos quais eram clones e usando nomes de organizações que soavam legítimos.
O código malicioso permitiu que os repositórios coletassem informações sobre o ambiente em que foram executados, por exemplo, informações sobre o dispositivo que o executou e seu usuário. Também tinha o potencial de coletar outros dados confidenciais.
O código também pode baixar arquivos adicionais malware de um site de terceiros, permitindo explorar ainda mais qualquer aplicativo ou ambiente que estivesse usando o código malicioso clonado originalmente introduzido nos repositórios do GitHub.
O código armado pode levar os desenvolvedores a baixar acidentalmente repositórios de código clonado que contêm o código malicioso. Se usado em seus aplicativos, isso os levaria a expor seus usuários a códigos que incluem malware. Com um público de desenvolvedores de 83 milhões de pessoas, as ramificações podem ser devastadoras.
O ataque foi relatado ao GitHub por Lacy, que afirmou ter “limpado” o ataque e impedido que ele se espalhasse ainda mais removendo os projetos e organizações afetados.