GitHub memberi amaran kepada pengguna tentang serangan yang bertujuan untuk memuat turun data daripada repositori peribadi menggunakan token OAuth terjejas yang dijana untuk perkhidmatan Heroku dan Travis-CI. Dilaporkan bahawa semasa serangan itu, data telah dibocorkan daripada repositori peribadi beberapa organisasi yang membuka akses kepada repositori untuk platform Heroku PaaS dan sistem penyepaduan berterusan Travis-CI. Antara mangsa ialah GitHub dan projek NPM.
Penyerang dapat mengekstrak kunci dari repositori GitHub persendirian untuk mengakses API Perkhidmatan Web Amazon, yang digunakan dalam infrastruktur projek NPM. Kunci yang terhasil membenarkan akses kepada pakej NPM yang disimpan dalam perkhidmatan AWS S3. GitHub percaya bahawa walaupun mendapat akses kepada repositori NPM, ia tidak mengubah suai pakej atau mendapatkan data yang dikaitkan dengan akaun pengguna. Ia juga diperhatikan bahawa oleh kerana infrastruktur GitHub.com dan NPM adalah berasingan, penyerang tidak mempunyai masa untuk memuat turun kandungan repositori GitHub dalaman yang tidak dikaitkan dengan NPM sebelum token bermasalah disekat.
Serangan itu dikesan pada 12 April, selepas penyerang cuba menggunakan kunci API AWS. Kemudian, serangan serupa telah direkodkan pada beberapa organisasi lain, yang turut menggunakan token aplikasi Heroku dan Travis-CI. Organisasi yang terjejas belum dinamakan, tetapi pemberitahuan individu telah dihantar kepada semua pengguna yang terjejas oleh serangan itu. Pengguna aplikasi Heroku dan Travis-CI digalakkan untuk menyemak keselamatan dan log audit untuk mengenal pasti anomali dan aktiviti luar biasa.
Masih belum jelas bagaimana token itu jatuh ke tangan penyerang, tetapi GitHub percaya bahawa ia tidak diperolehi hasil daripada kompromi infrastruktur syarikat, kerana token untuk membenarkan akses daripada sistem luaran tidak disimpan di sebelah GitHub dalam format asal yang sesuai untuk digunakan. Analisis terhadap tingkah laku penyerang menunjukkan bahawa tujuan utama memuat turun kandungan repositori persendirian berkemungkinan besar adalah untuk menganalisis kehadiran data sulit di dalamnya, seperti kunci akses, yang boleh digunakan untuk meneruskan serangan ke atas elemen infrastruktur yang lain. .
Sumber: opennet.ru