GitHub hat die Nutzer über einen Angriff informiert, der darauf abzielte, Daten aus privaten Repositories durch kompromittierte OAuth-Token zu extrahieren, die für die Dienste Heroku und Travis-CI generiert wurden. Berichten zufolge kam es bei dem Angriff zu einem Datenleck aus den privaten Repositories einiger Organisationen, die den Zugriff auf ihre Repositories für die PaaS-Plattform Heroku und das Travis-CI Continuous Integration-System geöffnet hatten. Zu den Betroffenen gehören das Unternehmen GitHub und das NPM-Projekt.
Die Angreifer konnten aus den privaten Repositories von GitHub einen Schlüssel für den Zugriff auf die Amazon Web Services API extrahieren, der in der Infrastruktur des NPM-Projekts verwendet wurde. Der erhaltene Schlüssel ermöglichte den Zugriff auf NPM-Pakete, die im AWS S3-Dienst gespeichert sind. GitHub ist der Meinung, dass trotz des Zugriffs auf die NPM-Repositories keine Modifikation der Pakete oder der Zugriff auf nutzerbezogene Daten erfolgt ist. Außerdem wird festgestellt, dass die Infrastrukturen von GitHub.com und NPM getrennt sind und die Angreifer nicht rechtzeitig in der Lage waren, Inhalte interner GitHub-Repositories, die nicht mit NPM verbunden sind, herunterzuladen, bevor die problematischen Token gesperrt wurden.
Der Angriff wurde am 12. April registriert, nachdem die Angreifer versucht hatten, einen AWS-API-Schlüssel zu nutzen. Später wurden ähnliche Angriffe auf andere Organisationen festgestellt, bei denen ebenfalls Heroku- und Travis-CI-Anwendungstoken verwendet wurden. Die betroffenen Organisationen werden nicht benannt, jedoch wurden allen Nutzern, die von dem Angriff betroffen waren, entsprechende individuelle Benachrichtigungen zugesandt. Den Nutzern von Heroku- und Travis-CI-Anwendungen wird geraten, die Sicherheits- und Auditing-Protokolle auf Anomalien und atypische Aktivitäten zu überprüfen.
Wie die Tokens in die Hände der Angreifer gelangten, ist bisher unklar, aber GitHub ist der Meinung, dass sie nicht durch eine Kompromittierung der Unternehmensinfrastruktur erlangt wurden, da Tokens für den Zugriff von externen Systemen nicht im ursprünglichen, verwendbaren Format bei GitHub gespeichert werden. Die Analyse des Verhaltens des Angreifers deutete darauf hin, dass das Hauptziel der Ausnutzung privater Repositories darin bestand, zu überprüfen, ob vertrauliche Daten wie Zugangsschlüssel vorhanden sind, die für einen weiterführenden Angriff auf andere Teile der Infrastruktur genutzt werden könnten.
Quelle: opennet.ru
