A GitHub figyelmeztette a felhasználókat egy támadásra, amelynek célja a Heroku és a Travis-CI szolgáltatásokhoz generált, feltört OAuth-tokenek segítségével adatokat tölteni le privát adattárakból. A hírek szerint a támadás során adatok szivárogtak ki egyes szervezetek privát adattáraiból, amelyek hozzáférést nyitottak a Heroku PaaS platform és a Travis-CI folyamatos integrációs rendszer adattáraihoz. Az áldozatok között volt a GitHub és az NPM projekt is.
A támadók privát GitHub-tárolókból tudták kinyerni az NPM-projekt infrastruktúrájában használt Amazon Web Services API eléréséhez szükséges kulcsot. Az így kapott kulcs hozzáférést biztosított az AWS S3 szolgáltatásban tárolt NPM-csomagokhoz. A GitHub úgy véli, hogy annak ellenére, hogy hozzáfért az NPM-tárolókhoz, nem módosította a csomagokat, és nem szerzett be felhasználói fiókokhoz kapcsolódó adatokat. Azt is meg kell jegyezni, hogy mivel a GitHub.com és az NPM infrastruktúra különálló, a támadóknak nem volt idejük letölteni az NPM-mel nem társított belső GitHub-tárolók tartalmát a problémás tokenek blokkolása előtt.
A támadást április 12-én észlelték, miután a támadók megpróbálták használni az AWS API kulcsát. Később hasonló támadásokat rögzítettek néhány más szervezet ellen is, amelyek szintén Heroku és Travis-CI alkalmazástokeneket használtak. Az érintett szervezeteket nem nevezték meg, de egyedi értesítéseket küldtek a támadás által érintett összes felhasználónak. A Heroku és a Travis-CI alkalmazások felhasználóit javasoljuk, hogy tekintsék át a biztonsági és ellenőrzési naplókat az anomáliák és a szokatlan tevékenységek azonosítása érdekében.
Egyelőre nem világos, hogyan kerültek a tokenek a támadók kezébe, de a GitHub úgy véli, hogy nem a cég infrastruktúrájának kompromittálódása miatt kerültek hozzájuk, mivel a külső rendszerekről való hozzáférést engedélyező tokenek nem tárolódnak a GitHub oldalon. használatra alkalmas eredeti formátumban. A támadó viselkedésének elemzése kimutatta, hogy a privát adattárak tartalmának letöltésének fő célja valószínűleg az, hogy elemezzék a bennük lévő bizalmas adatok, például hozzáférési kulcsok jelenlétét, amelyekkel folytatni lehetne az infrastruktúra más elemei elleni támadást. .
Forrás: opennet.ru