GitHub ha avvertito gli utenti riguardo a un attacco mirato al download di dati da repository privati utilizzando token OAuth compromessi, generati per i servizi Heroku e Travis-CI. Si riporta che durante l'attacco ci sono state delle fughe di dati da repository privati di alcune organizzazioni che hanno aperto l'accesso ai repository per la piattaforma PaaS Heroku e il sistema di integrazione continua Travis-CI. Tra le vittime si contano GitHub e il progetto NPM.
Gli aggressori sono riusciti a estrarre dai repository privati di GitHub una chiave di accesso all'API di Amazon Web Services, utilizzata nell'infrastruttura del progetto NPM. La chiave ottenuta consentiva l'accesso ai pacchetti NPM archiviati nel servizio AWS S3. GitHub ritiene che, nonostante l'accesso ai repository NPM, non ci siano state modifiche ai pacchetti o accesso a dati legati agli account utenti. Si sottolinea inoltre che, poiché le infrastrutture GitHub.com e NPM sono separate, gli aggressori non hanno avuto la possibilità di scaricare contenuti da repository interni di GitHub non legati a NPM prima che i token problematici venissero bloccati.
L'attacco è stato registrato il 12 aprile, dopo che gli aggressori hanno tentato di utilizzare una chiave per l'API AWS. In seguito, sono stati registrati attacchi simili anche su altre organizzazioni, dove sono stati utilizzati token delle applicazioni Heroku e Travis-CI. Le organizzazioni colpite non sono state nominate, ma a tutti gli utenti interessati dall'attacco sono state inviate comunicazioni individuali. A gli utenti delle applicazioni Heroku e Travis-CI è stato consigliato di esaminare i log di sicurezza e di audit per individuare anomalie e attività sospette.
Non è chiaro come i token siano finiti nelle mani degli aggressori, ma GitHub ritiene che siano stati ottenuti senza compromettere l'infrastruttura dell'azienda, poiché i token per l'autorizzazione dell'accesso da sistemi esterni non sono memorizzati su GitHub nel loro formato originale utilizzabile. L'analisi del comportamento dell'attaccante ha mostrato che probabilmente l'obiettivo principale del download del contenuto dei repository privati è l'analisi della presenza di dati riservati, come chiavi di accesso, che potrebbero essere utilizzate per continuare l'attacco su altri elementi dell'infrastruttura.
Fonte: opennet.ru
