GitHub папярэдзіў карыстальнікаў аб нападзе, накіраванай на загрузку дадзеных з прыватных рэпазітароў з выкарыстаннем скампраметаваных токенаў OAuth, згенераваных для сэрвісаў Heroku і Travis-CI. Паведамляецца, што падчас нападаў адбылася ўцечка дадзеных з прыватных рэпазітароў некаторых арганізацый, якія адкрылі доступ да рэпазітараў для PaaS-платформы Heroku і сістэмы бесперапыннай інтэграцыі Travis-CI. У ліку пацярпелых аказалася кампанія GitHub і праект NPM.
Атакуючыя змаглі выняць з прыватных рэпазітараў GitHub ключ для доступу да API Amazon Web Services, які выкарыстоўваецца ў інфраструктуры праекта NPM. Атрыманы ключ дазваляў атрымаць доступ да NPM-пакетаў, якія захоўваюцца ў сэрвісе AWS S3. GitHub лічыць, што нягледзячы на атрыманы доступ да рэпазітараў NPM, справа не дайшла да мадыфікацыі пакетаў або атрыманні дадзеных, звязаных з уліковымі запісамі карыстачоў. Таксама адзначаецца, што бо інфраструктуры GitHub.com і NPM падзеленыя, атакавалыя не паспелі загрузіць змесціва ўнутраных рэпазітароў GitHub, не злучаных з NPM, да таго як праблемныя токены былі заблакаваныя.
Атака была зафіксаваная 12 красавіка, пасля таго як атакавалыя паспрабавалі выкарыстаць ключ да API AWS. Пазней зафіксаваны падобныя напады і на некаторыя іншыя арганізацыі, у якіх таксама выкарыстоўваліся токены прыкладанняў Heroku і Travis-CI. Пацярпелыя арганізацыі не называюцца, але ўсім карыстальнікам, якіх закранула атака, адпраўлены адпаведныя індывідуальныя апавяшчэнні. Карыстачам прыкладанняў Heroku і Travis-CI рэкамендавана вывучыць логі бяспекі і аўдыту для выяўлення анамалій і нетыповай актыўнасці.
Якім чынам токены патрапілі ў рукі атакавалых пакуль не ясна, але GitHub лічыць, што яны атрыманы не ў выніку кампраметацыі інфраструктуры кампаніі, бо токены для аўтарызацыі доступу з вонкавых сістэм не захоўваюцца на боку GitHub у зыходным фармаце, прыдатным для выкарыстання. Аналіз паводзін атакавалага паказаў, што верагодна асноўнай мэтай загрузкі змесціва прыватных рэпазітараў з'яўляецца аналіз наяўнасці ў іх канфідэнцыйных дадзеных, такіх як ключы доступу, якія маглі б выкарыстоўвацца для працягу нападу на іншыя элементы інфраструктуры.
Крыніца: opennet.ru