Ataque hacker no GitHub rouba mais de 3 mil chaves de acesso e credenciais
Por Lillian Sibila Dala Costa • Editado por Jones Oliveira |
Um novo esforço cibercriminoso está afetando o GitHub, resultando no roubo de mais de 3.300 chaves de acesso e credenciais, como tokens e chaves de API. Chamada de GhostAction, a campanha foi descoberta pela empresa de segurança GitGuardian, com os primeiros sinais surgindo em 2 de setembro deste ano durante a FastUUID.
- Hackers usam IA do Google e Amazon para roubar credenciais do pacote npm "nx"
- Ataque ao GitHub resulta em invasão de cerca de 100 mil contas
Segundo os especialistas, o ataque mira na confiança dos usuários no ecossistema do GitHub, afetando a cadeia de abastecimento (supply chain) das iterações dos projetos na plataforma. O primeiro passo dos hackers é invadir a conta de programadores, inserindo, discretamente, arquivos maliciosos no fluxo de trabalho do GitHub Actions.
O arquivo é ativado automaticamente sempre que o código do projeto é atualizado, fazendo com que o código malicioso leia as chaves de programação guardadas no ambiente do projeto. Isso inclui tokens do PyPl e npm, chaves da Cloudflare e AWS e credenciais de bases de dados, enviando as informações roubadas para um servidor externo, controlado pelos cibercriminosos.
Ataques comprometeram mais de 800 repositórios
Desde a descoberta da iniciativa, os pesquisadores descobriram que a GhostAction é maior do que se acreditava, com commits maliciosos sendo vistos em pelo menos 817 repositórios, comprometendo até 3.325 chaves em 9 pacotes npm e 15 pacotes PyPl. Portfólios inteiros de SDKs de empresas foram afetados, em alguns casos comprometendo os repositórios de Python, Rust, JavaScript e Go.
A dimensão completa do ataque foi notada na última sexta-feira (5), quando a GitGuardian notificou a segurança do GitHub, npm e PyPl, alertando também 573 dos repositórios afetados na plataforma. Aproximadamente 100 deles já tinham detido a invasão e revertido as ações maliciosas. O servidor hacker que recebia os dados deixou de estar acessível desde então.
O ataque é parecido com o recente s1ngularity, que também afetou o GitHub, mas os especialistas não acreditam que exista conexão entre as duas iniciativas. A recomendação, para os usuários que foram afetados, é revogar todos os tokens e chaves comprometidas o mais rápido possível, evitando que os hackers publiquem versões de seus softwares com malwares inseridos.
Confira mais no Canaltech:
- Hacker invadiu o GitHub e roubou 500 GB em projetos da Microsoft
- GitHub Copilot ganha agente de codificação para automatizar tarefas com IA
- GitHub libera IA que corrige vulnerabilidades de segurança para todos
VÍDEO | O Google sofreu o maior ataque hacker dos últimos anos #ctnews
Fonte: GitGuardian