GitHub waarschuwde gebruikers voor een aanval gericht op het downloaden van gegevens uit privéopslagplaatsen met behulp van gecompromitteerde OAuth-tokens die zijn gegenereerd voor de Heroku- en Travis-CI-services. Er wordt gemeld dat tijdens de aanval gegevens zijn gelekt uit de privérepository's van sommige organisaties, waardoor toegang werd geopend tot repository's voor het Heroku PaaS-platform en het Travis-CI continue integratiesysteem. Onder de slachtoffers waren GitHub en het NPM-project.
De aanvallers waren in staat om uit privé GitHub-opslagplaatsen de sleutel te halen voor toegang tot de Amazon Web Services API, die wordt gebruikt in de NPM-projectinfrastructuur. De resulterende sleutel gaf toegang tot NPM-pakketten die waren opgeslagen in de AWS S3-service. GitHub is van mening dat het, ondanks het verkrijgen van toegang tot NPM-repository's, geen pakketten heeft gewijzigd of gegevens heeft verkregen die verband houden met gebruikersaccounts. Er wordt ook opgemerkt dat, aangezien de infrastructuur van GitHub.com en NPM gescheiden zijn, de aanvallers geen tijd hadden om de inhoud van interne GitHub-opslagplaatsen te downloaden die niet aan NPM waren gekoppeld voordat de problematische tokens werden geblokkeerd.
De aanval werd op 12 april ontdekt, nadat de aanvallers probeerden de sleutel van de AWS API te gebruiken. Later werden soortgelijke aanvallen geregistreerd op enkele andere organisaties, die ook Heroku- en Travis-CI-applicatietokens gebruikten. De getroffen organisaties zijn niet genoemd, maar er zijn individuele meldingen verzonden naar alle gebruikers die door de aanval zijn getroffen. Gebruikers van de Heroku- en Travis-CI-applicaties worden aangemoedigd om beveiligings- en auditlogboeken te bekijken om afwijkingen en ongebruikelijke activiteiten te identificeren.
Het is nog niet duidelijk hoe de tokens in handen van de aanvallers zijn gevallen, maar GitHub denkt dat ze niet zijn verkregen als gevolg van een compromittering van de infrastructuur van het bedrijf, aangezien tokens voor het autoriseren van toegang vanaf externe systemen niet aan de GitHub-kant zijn opgeslagen. in het originele formaat dat geschikt is voor gebruik. Uit analyse van het gedrag van de aanvaller bleek dat het belangrijkste doel van het downloaden van de inhoud van privéopslagplaatsen waarschijnlijk het analyseren van de aanwezigheid van vertrouwelijke gegevens daarin is, zoals toegangssleutels, die kunnen worden gebruikt om de aanval op andere elementen van de infrastructuur voort te zetten. .
Bron: opennet.ru