GitHub varoval uživatele před útokem zaměřeným na stahování dat ze soukromých úložišť pomocí kompromitovaných tokenů OAuth generovaných pro služby Heroku a Travis-CI. Uvádí se, že během útoku došlo k úniku dat ze soukromých úložišť některých organizací, což otevřelo přístup k úložištím pro platformu Heroku PaaS a kontinuální integrační systém Travis-CI. Mezi oběťmi byl GitHub a projekt NPM.
Útočníkům se podařilo extrahovat ze soukromých úložišť GitHub klíč pro přístup k Amazon Web Services API, používanému v infrastruktuře projektu NPM. Výsledný klíč umožňoval přístup k balíčkům NPM uloženým ve službě AWS S3. GitHub se domnívá, že navzdory získání přístupu k repozitářům NPM neupravoval balíčky ani nezískal data spojená s uživatelskými účty. Je také třeba poznamenat, že vzhledem k tomu, že infrastruktury GitHub.com a NPM jsou oddělené, útočníci neměli čas stáhnout obsah interních úložišť GitHub, která nejsou spojena s NPM, než byly problematické tokeny zablokovány.
Útok byl detekován 12. dubna poté, co se útočníci pokusili použít klíč k AWS API. Později byly podobné útoky zaznamenány i na některé další organizace, které také používaly tokeny aplikací Heroku a Travis-CI. Dotčené organizace nebyly jmenovány, ale všem dotčeným uživatelům byla zaslána jednotlivá oznámení. Uživatelům aplikací Heroku a Travis-CI se doporučuje, aby zkontrolovali bezpečnostní a auditní protokoly, aby identifikovali anomálie a neobvyklé aktivity.
Zatím není jasné, jak se tokeny dostaly do rukou útočníků, ale GitHub se domnívá, že nebyly získány v důsledku kompromitace infrastruktury společnosti, protože tokeny pro autorizaci přístupu z externích systémů nejsou uloženy na straně GitHubu. v původním formátu vhodném k použití. Analýza chování útočníka ukázala, že hlavním účelem stahování obsahu soukromých úložišť bude pravděpodobně analýza přítomnosti důvěrných dat v nich, jako jsou přístupové klíče, které by mohly být použity k pokračování útoku na další prvky infrastruktury. .
Zdroj: opennet.ru