GitHub warnte Benutzer vor einem Angriff, der darauf abzielte, Daten aus privaten Repositories herunterzuladen, indem kompromittierte OAuth-Tokens verwendet wurden, die für die Dienste Heroku und Travis-CI generiert wurden. Es wird berichtet, dass während des Angriffs Daten aus den privaten Repositorys einiger Organisationen durchgesickert sind, was den Zugriff auf Repositorys für die Heroku-PaaS-Plattform und das kontinuierliche Integrationssystem Travis-CI ermöglicht hat. Zu den Opfern gehörten GitHub und das NPM-Projekt.
Den Angreifern gelang es, aus privaten GitHub-Repositories den Schlüssel für den Zugriff auf die Amazon Web Services API zu extrahieren, die in der NPM-Projektinfrastruktur verwendet wird. Der resultierende Schlüssel ermöglichte den Zugriff auf NPM-Pakete, die im AWS S3-Dienst gespeichert sind. GitHub geht davon aus, dass es trotz des Zugriffs auf NPM-Repositorys keine Pakete geändert oder mit Benutzerkonten verknüpfte Daten abgerufen hat. Es wird außerdem darauf hingewiesen, dass die Angreifer keine Zeit hatten, die Inhalte interner GitHub-Repositorys herunterzuladen, die nicht mit NPM verknüpft waren, da die Infrastrukturen GitHub.com und NPM getrennt sind, bevor die problematischen Token blockiert wurden.
Der Angriff wurde am 12. April entdeckt, nachdem die Angreifer versucht hatten, den Schlüssel zur AWS-API zu nutzen. Später wurden ähnliche Angriffe auf einige andere Organisationen registriert, die ebenfalls Heroku- und Travis-CI-Anwendungstoken verwendeten. Die betroffenen Organisationen wurden nicht genannt, es wurden jedoch individuelle Benachrichtigungen an alle von dem Angriff betroffenen Benutzer gesendet. Benutzern der Heroku- und Travis-CI-Anwendungen wird empfohlen, Sicherheits- und Überwachungsprotokolle zu überprüfen, um Anomalien und ungewöhnliche Aktivitäten zu identifizieren.
Es ist noch nicht klar, wie die Token in die Hände der Angreifer gelangten, aber GitHub geht davon aus, dass sie nicht durch eine Kompromittierung der Infrastruktur des Unternehmens erlangt wurden, da Token zur Autorisierung des Zugriffs von externen Systemen nicht auf GitHub-Seite gespeichert sind im gebrauchstauglichen Originalformat. Die Analyse des Verhaltens des Angreifers ergab, dass der Hauptzweck des Herunterladens der Inhalte privater Repositories wahrscheinlich darin besteht, das Vorhandensein vertraulicher Daten darin zu analysieren, beispielsweise Zugriffsschlüssel, die zur Fortsetzung des Angriffs auf andere Elemente der Infrastruktur verwendet werden könnten .
Source: opennet.ru