GitHub je upozorio korisnike na napad čiji je cilj preuzimanje podataka iz privatnih repozitorija korištenjem kompromitiranih OAuth tokena generiranih za usluge Heroku i Travis-CI. Prijavljeno je da su tijekom napada procurili podaci iz privatnih repozitorija nekih organizacija, što je otvorilo pristup repozitoriju za platformu Heroku PaaS i sustav kontinuirane integracije Travis-CI. Među žrtvama su GitHub i NPM projekt.
Napadači su iz privatnih GitHub repozitorija uspjeli izvući ključ za pristup API-ju Amazon Web Services, koji se koristi u infrastrukturi NPM projekta. Rezultirajući ključ omogućio je pristup NPM paketima pohranjenim u AWS S3 usluzi. GitHub vjeruje da unatoč dobivanju pristupa NPM repozitoriju, nije modificirao pakete niti dobio podatke povezane s korisničkim računima. Također se napominje da budući da su GitHub.com i NPM infrastrukture odvojene, napadači nisu imali vremena preuzeti sadržaj internih GitHub repozitorija koji nisu povezani s NPM-om prije nego što su problematični tokeni blokirani.
Napad je otkriven 12. travnja, nakon što su napadači pokušali upotrijebiti ključ za AWS API. Kasnije su slični napadi zabilježeni i na neke druge organizacije, koje su također koristile tokene aplikacija Heroku i Travis-CI. Pogođene organizacije nisu imenovane, ali su pojedinačne obavijesti poslane svim korisnicima pogođenim napadom. Korisnici aplikacija Heroku i Travis-CI potiču se da pregledaju sigurnosne i revizijske zapisnike kako bi identificirali anomalije i neobične aktivnosti.
Još nije jasno kako su tokeni dospjeli u ruke napadača, ali GitHub vjeruje da nisu dobiveni kao rezultat kompromitacije infrastrukture tvrtke, budući da se tokeni za autorizaciju pristupa s vanjskih sustava ne pohranjuju na GitHub strani u izvornom formatu prikladnom za korištenje. Analiza ponašanja napadača pokazala je da je glavna svrha preuzimanja sadržaja privatnih repozitorija vjerojatno analiza prisutnosti povjerljivih podataka u njima, poput pristupnih ključeva, koji bi se mogli koristiti za nastavak napada na druge elemente infrastrukture. .
Izvor: opennet.ru