Cryptonews

Alerta de pirateo de GitHub: lo que debe hacer con sus claves y credenciales API hoy

Source
CryptoNewsTrend
Published
Alerta de pirateo de GitHub: lo que debe hacer con sus claves y credenciales API hoy

GitHub confirmó el martes que los atacantes obtuvieron acceso no autorizado a sus repositorios internos después de comprometer el dispositivo de un empleado a través de una extensión envenenada de Visual Studio Code. La plataforma propiedad de Microsoft detectó y contuvo el compromiso, eliminó la extensión maliciosa, aisló el punto final afectado y comenzó a responder al incidente de inmediato.

La compañía dijo que su evaluación actual es que la violación implicó la exfiltración únicamente de los repositorios internos de GitHub. No se cree que los repositorios de clientes, las organizaciones empresariales y los datos de usuarios almacenados fuera de los sistemas internos de GitHub se hayan visto afectados.

La magnitud de la infracción

GitHub confirmó que las afirmaciones del atacante sobre aproximadamente 3.800 repositorios internos son direccionalmente consistentes con su propia investigación. El grupo de amenazas TeamPCP se atribuyó la responsabilidad de la infracción y, según se informa, está intentando vender el conjunto de datos robado en foros clandestinos sobre cibercrimen por más de 50.000 dólares. El grupo alega que los datos incluyen código fuente de plataforma patentada y archivos de organización interna de aproximadamente 4.000 repositorios privados.

GitHub dijo que actuó rápidamente para rotar las credenciales críticas después de detectar la infracción, priorizando primero los secretos de mayor impacto. La empresa continúa analizando registros, validando la rotación secreta y monitoreando la actividad de seguimiento.

Por qué el acceso al repositorio interno es tan importante

La compañía dijo que no tiene evidencia de impacto en la información de los clientes almacenada fuera de los repositorios internos. Los investigadores de seguridad notaron que la redacción específica es importante. Ninguna evidencia de impacto no es una confirmación de que los datos de los clientes estén seguros. Significa que la investigación está en curso y aún no se ha determinado el radio total de la explosión.

Los repositorios internos suelen contener configuraciones de infraestructura, scripts de implementación, documentación de API interna, credenciales de preparación, indicadores de funciones, enlaces de monitoreo y servicios no documentados. El acceso al código fuente interno proporciona de manera efectiva un modelo de la arquitectura completa de un sistema, incluso sin acceso directo a los datos del cliente.

Los profesionales de seguridad también señalaron como significativa la mención explícita de GitHub al monitoreo de la actividad de seguimiento. Los ataques modernos rara vez se detienen en el acceso inicial. La progresión estándar va desde el punto de apoyo inicial hasta el reconocimiento, la escalada de privilegios, la persistencia y luego una segunda ola de actividad dirigida después de que los defensores creen que la amenaza ha sido contenida.

Qué está haciendo GitHub

GitHub dijo que los secretos críticos se rotaron el mismo día en que se detectó la infracción y se abordaron primero las credenciales más confidenciales. La compañía continúa monitoreando la infraestructura para detectar cualquier actividad secundaria y publicará un informe de incidente más completo una vez que se complete la investigación. Los clientes serán notificados a través de los canales establecidos de respuesta a incidentes si se descubre algún impacto en sus datos.

Se ha recomendado a los desarrolladores que utilizan GitHub que revisen y roten las claves API almacenadas en los repositorios como medida de precaución, incluso cuando no se crea que los repositorios de los clientes se hayan visto directamente afectados.