GitHub hoiatas kasutajaid rünnaku eest, mille eesmärk on laadida alla andmeid privaatsetest hoidlatest, kasutades Heroku ja Travis-CI teenuste jaoks loodud ohustatud OAuthi lubasid. Teatatakse, et rünnaku käigus lekkis mõne organisatsiooni privaatsetest hoidlatest andmeid, mis avasid juurdepääsu Heroku PaaS platvormi ja Travis-CI pideva integratsioonisüsteemi hoidlatele. Ohvrite hulgas olid GitHub ja NPM projekt.
Ründajad suutsid privaatsetest GitHubi hoidlatest välja võtta võtme, et pääseda juurde NPM-i projekti infrastruktuuris kasutatavale Amazon Web Services API-le. Saadud võti võimaldas juurdepääsu AWS S3 teenuses salvestatud NPM-pakettidele. GitHub usub, et vaatamata juurdepääsule NPM-i hoidlatele, ei muutnud ta pakette ega hankinud kasutajakontodega seotud andmeid. Samuti märgitakse, et kuna GitHub.com ja NPM-i infrastruktuurid on eraldiseisvad, ei olnud ründajatel aega NPM-iga seostamata sisemiste GitHubi hoidlate sisu alla laadida enne, kui probleemsed žetoonid blokeeriti.
Rünnak tuvastati 12. aprillil pärast seda, kui ründajad üritasid kasutada AWS API võtit. Hiljem registreeriti sarnased rünnakud ka mõnele teisele organisatsioonile, kes kasutasid ka Heroku ja Travis-CI rakendusmärke. Mõjutatud organisatsioone pole nimetatud, kuid kõigile ründest mõjutatud kasutajatele on saadetud individuaalsed teated. Heroku ja Travis-CI rakenduste kasutajaid julgustatakse üle vaatama turva- ja auditilogid, et tuvastada kõrvalekaldeid ja ebatavalist tegevust.
Praegu pole veel selge, kuidas märgid ründajate kätte sattusid, kuid GitHub usub, et need ei saadud ettevõtte infrastruktuuri kompromiteerimise tulemusena, kuna välistest süsteemidest juurdepääsu lubamise žetoone ei salvestata GitHubi poolele. kasutamiseks sobivas originaalformaadis. Ründaja käitumise analüüs näitas, et privaathoidlate sisu allalaadimise põhieesmärk on tõenäoliselt analüüsida neis olevate konfidentsiaalsete andmete, näiteks juurdepääsuvõtmete olemasolu, mida saaks kasutada infrastruktuuri muude elementide rünnaku jätkamiseks. .
Allikas: opennet.ru