گیت هاب به کاربران درباره حمله ای با هدف دانلود داده ها از مخازن خصوصی با استفاده از توکن های OAuth در معرض خطر تولید شده برای سرویس های Heroku و Travis-CI هشدار داد. گزارش شده است که در طول این حمله، داده هایی از مخازن خصوصی برخی از سازمان ها به بیرون درز کرده است که دسترسی به مخازن پلت فرم Heroku PaaS و سیستم یکپارچه سازی مداوم Travis-CI را باز کرده است. در میان قربانیان GitHub و پروژه NPM بودند.
مهاجمان توانستند کلید دسترسی به API خدمات وب آمازون را که در زیرساخت پروژه NPM استفاده می شود، از مخازن خصوصی GitHub استخراج کنند. کلید حاصل اجازه دسترسی به بسته های NPM ذخیره شده در سرویس AWS S3 را می داد. گیت هاب معتقد است که علیرغم دسترسی به مخازن NPM، بسته ها را تغییر نداده یا داده های مرتبط با حساب های کاربری را به دست نیاورده است. همچنین اشاره شده است که از آنجایی که زیرساختهای GitHub.com و NPM مجزا هستند، مهاجمان قبل از مسدود شدن توکنهای مشکلساز، زمانی برای دانلود محتویات مخازن داخلی GitHub که با NPM مرتبط نیستند، نداشتند.
این حمله در 12 آوریل، پس از اینکه مهاجمان سعی کردند از کلید API AWS استفاده کنند، شناسایی شد. بعداً حملات مشابهی بر روی برخی سازمانهای دیگر نیز ثبت شد که از توکنهای برنامه Heroku و Travis-CI نیز استفاده کردند. نام سازمانهای آسیبدیده اعلام نشده است، اما اعلانهای فردی برای همه کاربرانی که تحت تأثیر این حمله قرار گرفتهاند ارسال شده است. کاربران برنامه های Heroku و Travis-CI تشویق می شوند تا گزارش های امنیتی و حسابرسی را برای شناسایی ناهنجاری ها و فعالیت های غیرعادی بررسی کنند.
هنوز مشخص نیست که چگونه توکن ها به دست مهاجمان افتاد، اما GitHub معتقد است که آنها در نتیجه به خطر افتادن زیرساخت های شرکت به دست نیامده اند، زیرا توکن های مجوز دسترسی از سیستم های خارجی در سمت GitHub ذخیره نمی شوند. در قالب اصلی مناسب برای استفاده. تجزیه و تحلیل رفتار مهاجم نشان داد که هدف اصلی از دانلود محتویات مخازن خصوصی احتمالاً تجزیه و تحلیل وجود داده های محرمانه در آنها است، مانند کلیدهای دسترسی، که می تواند برای ادامه حمله به سایر عناصر زیرساخت استفاده شود. .
منبع: opennet.ru