GitHub brīdināja lietotājus par uzbrukumu, kura mērķis ir lejupielādēt datus no privātām krātuvēm, izmantojot apdraudētus OAuth marķierus, kas ģenerēti Heroku un Travis-CI pakalpojumiem. Tiek ziņots, ka uzbrukuma laikā no atsevišķu organizāciju privātajiem krātuvēm tika nopludināti dati, kas pavēra piekļuvi Heroku PaaS platformas un Travis-CI nepārtrauktās integrācijas sistēmas krātuvēm. Starp upuriem bija GitHub un NPM projekts.
Uzbrucēji varēja no privātām GitHub krātuvēm iegūt atslēgu, lai piekļūtu Amazon Web Services API, kas tiek izmantota NPM projekta infrastruktūrā. Iegūtā atslēga ļāva piekļūt NPM pakotnēm, kas saglabātas AWS S3 pakalpojumā. GitHub uzskata, ka, neskatoties uz piekļuvi NPM krātuvēm, tas nepārveidoja pakotnes un neieguva datus, kas saistīti ar lietotāju kontiem. Tiek arī atzīmēts, ka, tā kā GitHub.com un NPM infrastruktūras ir atsevišķas, uzbrucējiem nebija laika lejupielādēt ar NPM nesaistīto iekšējo GitHub repozitoriju saturu, pirms tika bloķēti problemātiskie marķieri.
Uzbrukums tika atklāts 12. aprīlī pēc tam, kad uzbrucēji mēģināja izmantot AWS API atslēgu. Vēlāk līdzīgi uzbrukumi tika reģistrēti arī dažām citām organizācijām, kuras arī izmantoja Heroku un Travis-CI lietojumprogrammu marķierus. Ietekmētās organizācijas netiek nosauktas, taču visiem uzbrukuma skartajiem lietotājiem ir nosūtīti individuāli paziņojumi. Lietojumprogrammu Heroku un Travis-CI lietotāji tiek aicināti pārskatīt drošības un audita žurnālus, lai noteiktu anomālijas un neparastas darbības.
Pagaidām nav skaidrs, kā marķieri nokļuvuši uzbrucēju rokās, taču GitHub uzskata, ka tie nav iegūti uzņēmuma infrastruktūras kompromitēšanas rezultātā, jo GitHub pusē netiek glabāti tokeni piekļuves autorizācijai no ārējām sistēmām. oriģinālajā formātā, kas piemērots lietošanai. Uzbrucēja uzvedības analīze parādīja, ka privāto repozitoriju satura lejupielādes galvenais mērķis, visticamāk, ir analizēt tajos esošo konfidenciālo datu, piemēram, piekļuves atslēgu, klātbūtni, ko varētu izmantot, lai turpinātu uzbrukumu citiem infrastruktūras elementiem. .
Avots: opennet.ru