Selon BleepingComputer (Lawrence Abrams), un groupe d’extorsion nommé « Crimson Collective » revendique l’intrusion dans les dépôts GitHub privés de Red Hat et le vol d’environ 570 Go de données compressées couvrant 28 000 projets internes. Red Hat confirme un incident de sécurité lié à son activité de consulting, tout en indiquant n’avoir « aucune raison de croire » que ses autres services ou produits sont affectés et se dire « très confiant » dans l’intégrité de sa chaîne d’approvisionnement logicielle.
Les acteurs malveillants affirment avoir exfiltré environ 570 Go de données issues de 28 000 projets internes, dont ~800 Customer Engagement Reports (CER). Les CER sont des documents de conseil contenant souvent des détails d’infrastructure, des configurations et des jetons d’authentification, informations susceptibles d’être exploitées pour compromettre des réseaux clients.
Les attaquants déclarent avoir trouvé des tokens, des URIs de bases de données complets et d’autres informations privées dans du code et des CER, et prétendent s’en être servis pour accéder à des infrastructures clientes en aval. Ils ont publié sur Telegram un listing complet des répertoires des dépôts GitHub prétendument volés ainsi qu’une liste de CERs (2020–2025). Les CER listés couvrent de nombreux secteurs et organisations connues, notamment Bank of America, T‑Mobile, AT&T, Fidelity, Kaiser, Mayo Clinic, Walmart, Costco, la U.S. Navy’s Naval Surface Warfare Center, la Federal Aviation Administration et la House of Representatives.
Le groupe indique que l’intrusion aurait eu lieu il y a environ deux semaines et qu’une tentative d’extorsion auprès de Red Hat n’a entraîné qu’une réponse standard invitant à soumettre un rapport de vulnérabilité, le ticket ayant été réassigné à plusieurs reprises, y compris à des équipes juridiques et sécurité. Red Hat mentionne avoir lancé les mesures de remédiation nécessaires.
IOCs: non communiqués.
TTPs observés/revendiqués:
- Exfiltration de données massives (≈570 Go) 🧑💻
- Exploitation d’informations sensibles trouvées dans du code/CER (jetons, URIs DB)
- Publication de listings sur Telegram
- Tentative d’extorsion
- Antécédent revendiqué de défaçage (page thématique de Nintendo)
Type d’article: article de presse spécialisé visant à relayer une revendication d’intrusion et la réponse initiale de Red Hat.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/red-hat-confirms-security-incident-after-hackers-claim-github-breach/