GitHub advirtió a los usuarios sobre un ataque destinado a descargar datos de repositorios privados utilizando tokens OAuth comprometidos generados para los servicios Heroku y Travis-CI. Se informa que durante el ataque se filtraron datos de los repositorios privados de algunas organizaciones, lo que abrió el acceso a los repositorios para la plataforma Heroku PaaS y el sistema de integración continua Travis-CI. Entre las víctimas se encontraban GitHub y el proyecto NPM.
Los atacantes pudieron extraer de repositorios privados de GitHub la clave para acceder a la API de Amazon Web Services, utilizada en la infraestructura del proyecto NPM. La clave resultante permitió el acceso a los paquetes NPM almacenados en el servicio AWS S3. GitHub cree que a pesar de obtener acceso a los repositorios de NPM, no modificó paquetes ni obtuvo datos asociados con cuentas de usuario. También se observa que, dado que las infraestructuras de GitHub.com y NPM están separadas, los atacantes no tuvieron tiempo de descargar el contenido de los repositorios internos de GitHub no asociados con NPM antes de que se bloquearan los tokens problemáticos.
El ataque fue detectado el 12 de abril, después de que los atacantes intentaran utilizar la clave de la API de AWS. Posteriormente, se registraron ataques similares en algunas otras organizaciones, que también utilizaron tokens de aplicación Heroku y Travis-CI. No se han identificado las organizaciones afectadas, pero se han enviado notificaciones individuales a todos los usuarios afectados por el ataque. Se recomienda a los usuarios de las aplicaciones Heroku y Travis-CI que revisen los registros de seguridad y auditoría para identificar anomalías y actividades inusuales.
Aún no está claro cómo cayeron los tokens en manos de los atacantes, pero GitHub cree que no se obtuvieron como resultado de un compromiso de la infraestructura de la empresa, ya que los tokens para autorizar el acceso desde sistemas externos no se almacenan en el lado de GitHub. en el formato original adecuado para su uso. El análisis del comportamiento del atacante mostró que el objetivo principal de la descarga de contenidos de repositorios privados probablemente sea analizar la presencia de datos confidenciales en ellos, como claves de acceso, que podrían usarse para continuar el ataque a otros elementos de la infraestructura. .
Fuente: opennet.ru