GitHub предупреди потребителите за атака, насочена към изтегляне на данни от частни хранилища, използвайки компрометирани OAuth токени, генерирани за услугите Heroku и Travis-CI. Съобщава се, че по време на атаката са изтекли данни от частните хранилища на някои организации, които са отворили достъп до хранилища за платформата Heroku PaaS и системата за непрекъсната интеграция Travis-CI. Сред жертвите бяха GitHub и проектът NPM.
Нападателите успяха да извлекат от частни хранилища на GitHub ключа за достъп до API на Amazon Web Services, използван в инфраструктурата на проекта NPM. Полученият ключ позволи достъп до NPM пакети, съхранявани в услугата AWS S3. GitHub вярва, че въпреки получаването на достъп до хранилищата на NPM, не е модифицирал пакети или не е получил данни, свързани с потребителски акаунти. Отбелязва се също, че тъй като инфраструктурите GitHub.com и NPM са отделни, нападателите не са имали време да изтеглят съдържанието на вътрешните хранилища на GitHub, които не са свързани с NPM, преди проблемните токени да бъдат блокирани.
Атаката беше открита на 12 април, след като нападателите се опитаха да използват ключа към AWS API. По-късно бяха регистрирани подобни атаки срещу някои други организации, които също използваха токени за приложения Heroku и Travis-CI. Засегнатите организации не са посочени, но са изпратени индивидуални известия до всички потребители, засегнати от атаката. Потребителите на приложенията Heroku и Travis-CI се насърчават да преглеждат регистрационните файлове за сигурност и одит, за да идентифицират аномалии и необичайна дейност.
Все още не е ясно как токените са попаднали в ръцете на нападателите, но GitHub смята, че те не са получени в резултат на компрометиране на инфраструктурата на компанията, тъй като токените за разрешаване на достъп от външни системи не се съхраняват от страната на GitHub в оригинален формат, подходящ за употреба. Анализът на поведението на атакуващия показа, че основната цел на изтеглянето на съдържанието на частни хранилища вероятно е да се анализира наличието на поверителни данни в тях, като ключове за достъп, които могат да бъдат използвани за продължаване на атаката върху други елементи на инфраструктурата .
Източник: opennet.ru