GitHub va advertir als usuaris d'un atac destinat a descarregar dades de repositoris privats mitjançant fitxes OAuth compromeses generades per als serveis Heroku i Travis-CI. S'informa que durant l'atac es van filtrar dades dels dipòsits privats d'algunes organitzacions, que van obrir l'accés als dipòsits per a la plataforma Heroku PaaS i el sistema d'integració contínua Travis-CI. Entre les víctimes hi havia GitHub i el projecte NPM.
Els atacants van poder extreure dels dipòsits privats de GitHub la clau per accedir a l'API d'Amazon Web Services, utilitzada a la infraestructura del projecte NPM. La clau resultant va permetre l'accés als paquets NPM emmagatzemats al servei AWS S3. GitHub creu que, tot i tenir accés als repositoris NPM, no va modificar paquets ni obtenir dades associades als comptes d'usuari. També cal assenyalar que, com que les infraestructures de GitHub.com i NPM estan separades, els atacants no van tenir temps de descarregar el contingut dels dipòsits interns de GitHub no associats a NPM abans que es bloquegessin els testimonis problemàtics.
L'atac es va detectar el 12 d'abril, després que els atacants intentessin utilitzar la clau de l'API d'AWS. Més tard, es van registrar atacs similars a algunes altres organitzacions, que també van utilitzar fitxes d'aplicació Heroku i Travis-CI. No s'han nomenat les organitzacions afectades, però s'han enviat notificacions individuals a tots els usuaris afectats per l'atac. Es recomana als usuaris de les aplicacions Heroku i Travis-CI que revisin els registres de seguretat i d'auditoria per identificar anomalies i activitats inusuals.
Encara no està clar com els tokens van caure en mans dels atacants, però GitHub creu que no es van obtenir com a conseqüència d'un compromís de la infraestructura de l'empresa, ja que els tokens per autoritzar l'accés des de sistemes externs no s'emmagatzemen al costat de GitHub. en el format original adequat per al seu ús. L'anàlisi del comportament de l'atacant va mostrar que el principal objectiu de la descàrrega dels continguts dels repositoris privats és probable que sigui analitzar la presència de dades confidencials en ells, com ara claus d'accés, que es podrien utilitzar per continuar l'atac a altres elements de la infraestructura. .
Font: opennet.ru