GitHub varoitti käyttäjiä hyökkäyksestä, jonka tarkoituksena oli ladata tietoja yksityisistä tietovarastoista käyttämällä vaarantuneita OAuth-tunnuksia, jotka on luotu Heroku- ja Travis-CI-palveluille. On raportoitu, että hyökkäyksen aikana joidenkin organisaatioiden yksityisistä arkistoista vuotanut tietoja, jotka avasivat pääsyn Heroku PaaS -alustan ja Travis-CI:n jatkuvan integrointijärjestelmän arkistoihin. Uhrien joukossa olivat GitHub ja NPM-projekti.
Hyökkääjät pystyivät poimimaan yksityisistä GitHub-arkistoista avaimen NPM-projektin infrastruktuurissa käytettävään Amazon Web Services API:hen. Tuloksena oleva avain salli pääsyn AWS S3 -palveluun tallennettuihin NPM-paketteihin. GitHub uskoo, että huolimatta pääsystä NPM-tietovarastoihin, se ei muuttanut paketteja tai hankkinut käyttäjätileihin liittyviä tietoja. On myös huomattava, että koska GitHub.com- ja NPM-infrastruktuurit ovat erillisiä, hyökkääjät eivät ehtineet ladata sisäisten GitHub-tietovarastojen sisältöä, joita ei ole yhdistetty NPM:ään, ennen kuin ongelmalliset tunnukset estettiin.
Hyökkäys havaittiin 12. huhtikuuta, kun hyökkääjät yrittivät käyttää AWS-sovellusliittymän avainta. Myöhemmin samanlaisia hyökkäyksiä kirjattiin joihinkin muihin organisaatioihin, jotka myös käyttivät Heroku- ja Travis-CI-sovellustunnuksia. Organisaatioita, joihin hyökkäys vaikuttaa, ei ole nimetty, mutta yksittäiset ilmoitukset on lähetetty kaikille käyttäjille, joita hyökkäys koskee. Heroku- ja Travis-CI-sovellusten käyttäjiä kehotetaan tarkistamaan tietoturva- ja tarkastuslokit poikkeamien ja epätavallisen toiminnan tunnistamiseksi.
Vielä ei ole selvää, kuinka tunnukset joutuivat hyökkääjien käsiin, mutta GitHub uskoo, että niitä ei saatu yrityksen infrastruktuurin vaarantumisen seurauksena, koska ulkoisten järjestelmien pääsyn valtuuttamista koskevia tunnuksia ei tallenneta GitHub-puolelle. alkuperäisessä käyttöön sopivassa muodossa. Hyökkääjän käyttäytymisen analyysi osoitti, että yksityisten tietovarastojen sisällön lataamisen päätarkoitus on todennäköisesti analysoida luottamuksellisten tietojen, kuten pääsyavaimien, läsnäoloa, joita voitaisiin käyttää jatkamaan hyökkäystä muita infrastruktuurin osia vastaan. .
Lähde: opennet.ru