GitHub は、Heraku および Travis-CI サービス用に生成された侵害された OAuth トークンを使用して、プライベート リポジトリからデータをダウンロードすることを目的とした攻撃についてユーザーに警告しました。 報告によると、攻撃中に一部の組織のプライベート リポジトリからデータが漏洩し、Heraku PaaS プラットフォームと Travis-CI 継続的統合システムのリポジトリへのアクセスが公開されました。 被害者の中には、GitHub と NPM プロジェクトも含まれていました。
攻撃者は、NPM プロジェクト インフラストラクチャで使用されるアマゾン ウェブ サービス API にアクセスするためのキーをプライベート GitHub リポジトリから抽出することができました。 結果のキーにより、AWS S3 サービスに保存されている NPM パッケージへのアクセスが可能になりました。 GitHub は、NPM リポジトリへのアクセスを取得したにもかかわらず、パッケージを変更したり、ユーザー アカウントに関連付けられたデータを取得したりしていないと考えています。 また、GitHub.com と NPM インフラストラクチャは別個であるため、攻撃者は問題のあるトークンがブロックされる前に、NPM に関連付けられていない内部 GitHub リポジトリのコンテンツをダウンロードする時間がなかったことにも注意してください。
この攻撃は、攻撃者が AWS API のキーを使用しようとした後、12 月 XNUMX 日に検出されました。 その後、他のいくつかの組織でも同様の攻撃が記録され、そこでも Heroku および Travis-CI アプリケーション トークンが使用されました。 影響を受けた組織の名前は明らかにされていないが、攻撃の影響を受けたすべてのユーザーに個別の通知が送信されている。 Heroku および Travis-CI アプリケーションのユーザーは、セキュリティと監査ログを確認して、異常や異常なアクティビティを特定することをお勧めします。
トークンがどのようにして攻撃者の手に渡ったのかはまだ明らかではありませんが、外部システムからのアクセスを承認するためのトークンはGitHub側に保存されていないため、GitHubは同社のインフラストラクチャの侵害の結果としてトークンが入手されたものではないと考えています。使用に適したオリジナルの形式で。 攻撃者の行動を分析した結果、プライベート リポジトリのコンテンツをダウンロードする主な目的は、インフラストラクチャの他の要素に対する攻撃を継続するために使用される可能性のある、アクセス キーなどの機密データの存在を分析することである可能性が高いことがわかりました。 。
出所: オープンネット.ru