Uma popular ferramenta automatizada de análise de código, Fonte profunda, foi projetado para identificar vulnerabilidades, insetos, e problemas de desempenho. Também, para mais comodidade, tem integração com GitHub, e agora os desenvolvedores do DeepSource falaram sobre hackear seu aplicativo GitHub.
Fonte profunda relatado esta semana que a segurança do GitHub os notificou sobre atividades potencialmente maliciosas em junho.
“No dia 11 de julho, por volta das 5h UTC, DeepSource foi notificado pela equipe de segurança do GitHub de que eles estavam rastreando atividades potencialmente maliciosas relacionadas ao aplicativo DeepSource Github”, — diz mensagem oficial do DeepSource.
O facto é que desde meados de Junho, Os especialistas do GitHub observaram inúmeras solicitações de endereços IP incomuns para usuários do DeepSource, mas eles não tinham certeza de que um acordo tivesse ocorrido, apesar deste tráfego anormal.
Para limitar o acesso potencial aos recursos para invasores, os desenvolvedores do DeepSource imediatamente tomaram precauções: eles largaram todos os tokens, segredos e chaves privadas de clientes.
Como a causa do ataque não estava clara, todas as credenciais e chaves dos funcionários também foram apagadas. A empresa diz que finalmente, uma investigação interna não revelou quaisquer irregularidades ou anormalidades, e que a infraestrutura global da DeepSource não foi afetada.
Uma investigação mais detalhada do GitHub revelou que hackers comprometeram a conta GitHub de um funcionário da DeepSource durante a campanha de phishing Sawfish, detectado no início deste ano. Como resultado, os invasores obtiveram acesso às credenciais do aplicativo DeepSource GitHub.
"Infelizmente, A política de privacidade do GitHub não permite compartilhar conosco uma lista de usuários afetados, por isso estamos relatando publicamente o problema e aguardando que o GitHub conclua sua investigação. Entendemos que o GitHub notificará os usuários afetados diretamente, de acordo com as regras”, — escrevem os desenvolvedores do DeepSource.
Observa-se que os usuários que desejam receber informações adicionais sobre downloads e outras atividades da conta (para identificar comportamento suspeito) pode solicitar os logs necessários do GitHub nesta página.
DeepSource afirma que já está trabalhando com consultores de segurança da informação e tomando medidas para melhorar a segurança, inclusive por meio de treinamento em segurança e treinamento antiphishing para seus funcionários. Eles também prometem lançar o programa Bug Bounty.
Deixe-me lembrá-lo disso Malware do scanner Octopus foi descoberto recentemente no GitHub.