GitHub advarede brugere om et angreb med det formål at downloade data fra private lagre ved hjælp af kompromitterede OAuth-tokens genereret til Heroku- og Travis-CI-tjenesterne. Det rapporteres, at der under angrebet blev lækket data fra nogle organisationers private arkiver, hvilket åbnede adgang til arkiver for Heroku PaaS-platformen og Travis-CI-systemet til kontinuerlig integration. Blandt ofrene var GitHub og NPM-projektet.
Angriberne var i stand til at udtrække nøglen til at få adgang til Amazon Web Services API fra private GitHub-lagre, der blev brugt i NPM-projektets infrastruktur. Den resulterende nøgle gav adgang til NPM-pakker gemt i AWS S3-tjenesten. GitHub mener, at på trods af at have fået adgang til NPM-lagre, ændrede den ikke pakker eller indhentede data forbundet med brugerkonti. Det bemærkes også, at da GitHub.com- og NPM-infrastrukturerne er adskilte, havde angriberne ikke tid til at downloade indholdet af interne GitHub-lagre, der ikke er forbundet med NPM, før de problematiske tokens blev blokeret.
Angrebet blev opdaget den 12. april, efter at angriberne forsøgte at bruge nøglen til AWS API. Senere blev lignende angreb registreret på nogle andre organisationer, som også brugte Heroku og Travis-CI applikationstokens. De berørte organisationer er ikke blevet navngivet, men individuelle meddelelser er blevet sendt til alle brugere, der er berørt af angrebet. Brugere af Heroku- og Travis-CI-applikationerne opfordres til at gennemgå sikkerheds- og revisionslogfiler for at identificere uregelmæssigheder og usædvanlig aktivitet.
Det er endnu ikke klart, hvordan tokens faldt i hænderne på angriberne, men GitHub mener, at de ikke er opnået som følge af en kompromittering af virksomhedens infrastruktur, da tokens til at godkende adgang fra eksterne systemer ikke er gemt på GitHub-siden i det originale format, der er egnet til brug. Analyse af angriberens adfærd viste, at hovedformålet med at downloade indholdet af private arkiver sandsynligvis vil være at analysere tilstedeværelsen af fortrolige data i dem, såsom adgangsnøgler, som kunne bruges til at fortsætte angrebet på andre elementer af infrastrukturen .
Kilde: opennet.ru