Usuários do GitHub foram afetados por um novo ataque à cadeia de suprimentos, no qual foi possível roubar mais de 3 mil segredos como tokens, chaves e senhas, segundo o GitGuardian.
A primeira atividade suspeita registrada pela empresa, foi na última sexta-feira (5), relacionado a um repositório associado ao projeto FastUUID – um projeto open source no GitHub responsável por gerar sequências de caracteres hexadecimais conhecidos como Identificador Único Universal (UUID), usados para identificar registros em bancos de dados sem precisar de números sequenciais. O ataque foi nomeado de GhostAction.
Um mantenedor comprometido havia feito um commit malicioso três dias antes. Esse commit, que age como um registro das alterações feitas em um projeto, continha um arquivo de fluxo de trabalho (workflow) do GitHub Action projetado para roubar segredos, especificamente um token do PyPI.
GitHub Action é um mecanismo de automação que roda scripts sempre que você faz uma mudança no seu repositório. Empresas usam isso para rodar testes, compilar código ou publicar novas versões automaticamente. Na versão maliciosa, em vez de só ajudar na automação, ela coletava segredos e enviava para os criminosos por trás da operação.
Após investigações, a empresa descobriu centenas de commits maliciosos parecidos em 817 repositórios, que afetaram 327 usuários e vazaram mais de 3.325 segredos. A GitHub também registrou que todas as ações estavam ligadas ao mesmo usuário e os dados roubados eram enviados para o mesmo lugar. Credenciais do DockerHub, tokens do GitHub e tokens do npm, gerenciador de pacotes para JavaScript, foram os tipos de segredos mais comuns roubados na campanha.
A complexidade do caso se destaca pelo efeito dominó que ele gera. Com os commits maliciosos, criminosos podiam acessar códigos de outras empresas e deixar versões maliciosas em pacotes Python para vulnerabilizar outros usuários.
Salesloft teve conta do GitHub comprometida meses antes do ataque à Salesforce
Enquanto o GhostAction assombrava a comunidade de desenvolvedores, foi confirmado que a Salesloft, empresa que fornece soluções de engajamento de vendas, teve sua conta do GitHub comprometida em agosto.
De acordo com a investigação, hackers do grupo UNC6395, exploraram o app Salesloft Drift, integrado ao Salesforce e usado para converter clientes usando análise de dados. Os criminosos roubaram tokens OAuth e refresh tokens, que permitem acesso à integração entre os apps Salesforce e base de dados.
A empresa revelou então que foi possível rastrear uma invasão em junho em sua conta do GitHub, o que permitiu toda a vulnerabilidade.
Assim, eles foram capazes de invadir instâncias do Salesforce de várias empresas e roubar dados como registros de CRM – como contatos, cases e oportunidades de negócios, e credenciais de serviços. Algumas empresas afetadas foram a Cloudflare, Zscaler, Palo Alto Networks e PagerDuty.
S1ngularity: malware com IA atinge mais de 2 mil contas no GitHub
Poucos dias antes do GhostAction, o S1ngularity, considerado um dos primeiros casos em que hackers usaram inteligência artificial dentro do malware, foi registrado por pesquisadores da Wiz. Entre 26 e 31 de agosto, um pacote malicioso hospedado no npm foi incorporado ao ecossistema Nx, muito popular entre desenvolvedores de JavaScript e TypeScript. Dentro dele havia um arquivo chamado telemetry.js, que funcionava como malware.
No entanto, ao invés de apenas roubar informações de forma básica, o script usava modelos de Inteligência Artificial como Claude, Gemini e Q para analisar automaticamente repositórios e identificar dados sensíveis — incluindo tokens do GitHub, chaves SSH (método de autenticação criptográfica que usa um par de chaves pública e privada para conectar-se a servidores remotos de forma segura) e até carteiras de criptomoedas. Neste ataque, mais de 2 mil contas do GitHub foram comprometidas e 2.700 repositórios foram expostos em menos de uma semana.
Os incidentes recentes são diferentes em execução, mas iguais em essência: exploram a confiança da cadeia de suprimentos. Pequenos projetos open source, integrações SaaS e bibliotecas de terceiros podem parecer inofensivos, mas, uma vez comprometidos, servem como porta de entrada para invasões em larga escala.
Para acompanhar casos como esse, siga o TecMundo nas redes sociais e no YouTube. Inscreva-se em nossa newsletter para receber as principais notícias de tecnologia e segurança.
