GitHub ha avvisato gli utenti di un attacco volto a scaricare dati da repository privati utilizzando token OAuth compromessi generati per i servizi Heroku e Travis-CI. È stato riferito che durante l'attacco sono trapelati dati dai repository privati di alcune organizzazioni, che hanno aperto l'accesso ai repository per la piattaforma Heroku PaaS e il sistema di integrazione continua Travis-CI. Tra le vittime c'erano GitHub e il progetto NPM.
Gli aggressori sono riusciti a estrarre dai repository privati GitHub la chiave per accedere all'API di Amazon Web Services, utilizzata nell'infrastruttura del progetto NPM. La chiave risultante consentiva l'accesso ai pacchetti NPM archiviati nel servizio AWS S3. GitHub ritiene che, nonostante abbia ottenuto l'accesso ai repository NPM, non ha modificato i pacchetti né ottenuto dati associati agli account utente. Da notare inoltre che, essendo le infrastrutture GitHub.com e NPM separate, gli aggressori non hanno avuto il tempo di scaricare i contenuti dei repository interni GitHub non associati a NPM prima che i token problematici venissero bloccati.
L'attacco è stato rilevato il 12 aprile, dopo che gli aggressori hanno tentato di utilizzare la chiave dell'API AWS. Successivamente, attacchi simili sono stati registrati su alcune altre organizzazioni, che utilizzavano anche token applicativi Heroku e Travis-CI. Le organizzazioni colpite non sono state nominate, ma notifiche individuali sono state inviate a tutti gli utenti colpiti dall'attacco. Gli utenti delle applicazioni Heroku e Travis-CI sono incoraggiati a rivedere i registri di sicurezza e di controllo per identificare anomalie e attività insolite.
Non è ancora chiaro come i token siano finiti nelle mani degli aggressori, ma GitHub ritiene che non siano stati ottenuti a seguito di una compromissione dell'infrastruttura aziendale, dal momento che i token per autorizzare l'accesso da sistemi esterni non sono archiviati sul lato GitHub nel formato originale adatto all'uso. Dall'analisi del comportamento dell'aggressore è emerso che lo scopo principale del download dei contenuti degli archivi privati è probabilmente quello di analizzare la presenza di dati riservati al loro interno, come le chiavi di accesso, che potrebbero essere utilizzati per continuare l'attacco ad altri elementi dell'infrastruttura .
Fonte: opennet.ru