Атака Π½Π° GitHub, ΠΏΡ€ΠΈΠ²Π΅Π΄ΡˆΠ°Ρ ΠΊ ΡƒΡ‚Π΅Ρ‡ΠΊΠ΅ ΠΏΡ€ΠΈΠ²Π°Ρ‚Π½Ρ‹Ρ… Ρ€Π΅ΠΏΠΎΠ·ΠΈΡ‚ΠΎΡ€ΠΈΠ΅Π² ΠΈ доступу ΠΊ инфраструктурС NPM

GitHub ΠΏΡ€Π΅Π΄ΡƒΠΏΡ€Π΅Π΄ΠΈΠ» ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ ΠΎΠ± Π°Ρ‚Π°ΠΊΠ΅, Π½Π°Ρ†Π΅Π»Π΅Π½Π½ΠΎΠΉ Π½Π° Π·Π°Π³Ρ€ΡƒΠ·ΠΊΡƒ Π΄Π°Π½Π½Ρ‹Ρ… ΠΈΠ· ΠΏΡ€ΠΈΠ²Π°Ρ‚Π½Ρ‹Ρ… Ρ€Π΅ΠΏΠΎΠ·ΠΈΡ‚ΠΎΡ€ΠΈΠ΅Π² с использованиСм скомпромСтированных Ρ‚ΠΎΠΊΠ΅Π½ΠΎΠ² OAuth, сгСнСрированных для сСрвисов Heroku ΠΈ Travis-CI. БообщаСтся, Ρ‡Ρ‚ΠΎ Π² Ρ…ΠΎΠ΄Π΅ Π°Ρ‚Π°ΠΊΠΈ ΠΏΡ€ΠΎΠΈΠ·ΠΎΡˆΠ»Π° ΡƒΡ‚Π΅Ρ‡ΠΊΠ° Π΄Π°Π½Π½Ρ‹Ρ… ΠΈΠ· ΠΏΡ€ΠΈΠ²Π°Ρ‚Π½Ρ‹Ρ… Ρ€Π΅ΠΏΠΎΠ·ΠΈΡ‚ΠΎΡ€ΠΈΠ΅Π² Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΉ, ΠΎΡ‚ΠΊΡ€Ρ‹Π²ΡˆΠΈΡ… доступ ΠΊ рСпозиториям для PaaS-ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΡ‹ Heroku ΠΈ систСмы Π½Π΅ΠΏΡ€Π΅Ρ€Ρ‹Π²Π½ΠΎΠΉ ΠΈΠ½Ρ‚Π΅Π³Ρ€Π°Ρ†ΠΈΠΈ Travis-CI. Π’ числС ΠΏΠΎΡΡ‚Ρ€Π°Π΄Π°Π²ΡˆΠΈΡ… оказалась компания GitHub ΠΈ ΠΏΡ€ΠΎΠ΅ΠΊΡ‚ NPM.

ΠΡ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠ΅ смогли ΠΈΠ·Π²Π»Π΅Ρ‡ΡŒ ΠΈΠ· ΠΏΡ€ΠΈΠ²Π°Ρ‚Π½Ρ‹Ρ… Ρ€Π΅ΠΏΠΎΠ·ΠΈΡ‚ΠΎΡ€ΠΈΠ΅Π² GitHub ΠΊΠ»ΡŽΡ‡ для доступа ΠΊ API Amazon Web Services, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹ΠΉ Π² инфраструктурС ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π° NPM. ΠŸΠΎΠ»ΡƒΡ‡Π΅Π½Π½Ρ‹ΠΉ ΠΊΠ»ΡŽΡ‡ позволял ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ доступ ΠΊ NPM-ΠΏΠ°ΠΊΠ΅Ρ‚Π°ΠΌ, хранящимся Π² сСрвисС AWS S3. GitHub считаСт, Ρ‡Ρ‚ΠΎ нСсмотря Π½Π° ΠΏΠΎΠ»ΡƒΡ‡Π΅Π½Π½Ρ‹ΠΉ доступ ΠΊ рСпозиториям NPM, Π΄Π΅Π»ΠΎ Π½Π΅ дошло Π΄ΠΎ ΠΌΠΎΠ΄ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² ΠΈΠ»ΠΈ получСния Π΄Π°Π½Π½Ρ‹Ρ…, связанных с ΡƒΡ‡Ρ‘Ρ‚Π½Ρ‹ΠΌΠΈ записями ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ. Π’Π°ΠΊΠΆΠ΅ отмСчаСтся, Ρ‡Ρ‚ΠΎ Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ инфраструктуры GitHub.com ΠΈ NPM Ρ€Π°Π·Π΄Π΅Π»Π΅Π½Ρ‹, Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠ΅ Π½Π΅ успСли Π·Π°Π³Ρ€ΡƒΠ·ΠΈΡ‚ΡŒ содСрТимоС Π²Π½ΡƒΡ‚Ρ€Π΅Π½Π½ΠΈΡ… Ρ€Π΅ΠΏΠΎΠ·ΠΈΡ‚ΠΎΡ€ΠΈΠ΅Π² GitHub, Π½Π΅ связанных с NPM, Π΄ΠΎ Ρ‚ΠΎΠ³ΠΎ ΠΊΠ°ΠΊ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ½Ρ‹Π΅ Ρ‚ΠΎΠΊΠ΅Π½Ρ‹ Π±Ρ‹Π»ΠΈ Π·Π°Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²Π°Π½Ρ‹.

Атака Π±Ρ‹Π»Π° зафиксирована 12 апрСля, послС Ρ‚ΠΎΠ³ΠΎ ΠΊΠ°ΠΊ Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΠ΅ ΠΏΠΎΠΏΡ‹Ρ‚Π°Π»ΠΈΡΡŒ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ ΠΊΠ»ΡŽΡ‡ ΠΊ API AWS. ПозднСС зафиксированы ΠΏΠΎΡ…ΠΎΠΆΠΈΠ΅ Π°Ρ‚Π°ΠΊΠΈ ΠΈ Π½Π° Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π΄Ρ€ΡƒΠ³ΠΈΠ΅ ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ, Π² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… Ρ‚Π°ΠΊΠΆΠ΅ использовались Ρ‚ΠΎΠΊΠ΅Π½Ρ‹ ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ Heroku ΠΈ Travis-CI. ΠŸΠΎΡΡ‚Ρ€Π°Π΄Π°Π²ΡˆΠΈΠ΅ ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ Π½Π΅ Π½Π°Π·Ρ‹Π²Π°ΡŽΡ‚ΡΡ, Π½ΠΎ всСм ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡΠΌ, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… Π·Π°Ρ‚Ρ€ΠΎΠ½ΡƒΠ»Π° Π°Ρ‚Π°ΠΊΠ°, ΠΎΡ‚ΠΏΡ€Π°Π²Π»Π΅Π½Ρ‹ ΡΠΎΠΎΡ‚Π²Π΅Ρ‚ΡΡ‚Π²ΡƒΡŽΡ‰ΠΈΠ΅ ΠΈΠ½Π΄ΠΈΠ²ΠΈΠ΄ΡƒΠ°Π»ΡŒΠ½Ρ‹Π΅ увСдомлСния. ΠŸΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡΠΌ ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ Heroku ΠΈ Travis-CI Ρ€Π΅ΠΊΠΎΠΌΠ΅Π½Π΄ΠΎΠ²Π°Π½ΠΎ ΠΈΠ·ΡƒΡ‡ΠΈΡ‚ΡŒ Π»ΠΎΠ³ΠΈ бСзопасности ΠΈ Π°ΡƒΠ΄ΠΈΡ‚Π° для выявлСния Π°Π½ΠΎΠΌΠ°Π»ΠΈΠΉ ΠΈ Π½Π΅Ρ‚ΠΈΠΏΠΈΡ‡Π½ΠΎΠΉ активности.

Каким ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ Ρ‚ΠΎΠΊΠ΅Π½Ρ‹ ΠΏΠΎΠΏΠ°Π»ΠΈ Π² Ρ€ΡƒΠΊΠΈ Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰ΠΈΡ… ΠΏΠΎΠΊΠ° Π½Π΅ ясно, Π½ΠΎ GitHub считаСт, Ρ‡Ρ‚ΠΎ ΠΎΠ½ΠΈ ΠΏΠΎΠ»ΡƒΡ‡Π΅Π½Ρ‹ Π½Π΅ Π² Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Π΅ ΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΠΈ инфраструктуры ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ, Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ Ρ‚ΠΎΠΊΠ΅Π½Ρ‹ для Π°Π²Ρ‚ΠΎΡ€ΠΈΠ·Π°Ρ†ΠΈΠΈ доступа с Π²Π½Π΅ΡˆΠ½ΠΈΡ… систСм Π½Π΅ хранятся Π½Π° сторонС GitHub Π² исходном Ρ„ΠΎΡ€ΠΌΠ°Ρ‚Π΅, ΠΏΡ€ΠΈΠ³ΠΎΠ΄Π½ΠΎΠΌ для использования. Анализ повСдСния Π°Ρ‚Π°ΠΊΡƒΡŽΡ‰Π΅Π³ΠΎ ΠΏΠΎΠΊΠ°Π·Π°Π», Ρ‡Ρ‚ΠΎ вСроятно основной Ρ†Π΅Π»ΡŒΡŽ Π·Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ содСрТимого ΠΏΡ€ΠΈΠ²Π°Ρ‚Π½Ρ‹Ρ… Ρ€Π΅ΠΏΠΎΠ·ΠΈΡ‚ΠΎΡ€ΠΈΠ΅Π² являСтся Π°Π½Π°Π»ΠΈΠ· наличия Π² Π½ΠΈΡ… ΠΊΠΎΠ½Ρ„ΠΈΠ΄Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ…, Ρ‚Π°ΠΊΠΈΡ… ΠΊΠ°ΠΊ ΠΊΠ»ΡŽΡ‡ΠΈ доступа, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΌΠΎΠ³Π»ΠΈ Π±Ρ‹ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒΡΡ для продолТСния Π°Ρ‚Π°ΠΊΠΈ Π½Π° Π΄Ρ€ΡƒΠ³ΠΈΠ΅ элСмСнты инфраструктуры.

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru