GitHub advarte brukere om et angrep rettet mot å laste ned data fra private depoter ved å bruke kompromitterte OAuth-tokens generert for Heroku- og Travis-CI-tjenestene. Det er rapportert at det under angrepet ble lekket data fra de private depotene til enkelte organisasjoner, noe som åpnet tilgang til depotene for Heroku PaaS-plattformen og Travis-CI-systemet for kontinuerlig integrering. Blant ofrene var GitHub og NPM-prosjektet.
Angriperne var i stand til å trekke ut nøkkelen fra private GitHub-lagre for å få tilgang til Amazon Web Services API, brukt i NPM-prosjektets infrastruktur. Den resulterende nøkkelen tillot tilgang til NPM-pakker lagret i AWS S3-tjenesten. GitHub mener at til tross for at de fikk tilgang til NPM-depoter, endret den ikke pakker eller innhentet data knyttet til brukerkontoer. Det bemerkes også at siden GitHub.com og NPM-infrastrukturene er separate, hadde ikke angriperne tid til å laste ned innholdet i interne GitHub-lagre som ikke er knyttet til NPM før de problematiske tokenene ble blokkert.
Angrepet ble oppdaget 12. april, etter at angriperne prøvde å bruke nøkkelen til AWS API. Senere ble lignende angrep registrert på noen andre organisasjoner, som også brukte Heroku- og Travis-CI-applikasjonstokener. De berørte organisasjonene har ikke fått navn, men individuelle varsler er sendt til alle brukere som er berørt av angrepet. Brukere av Heroku- og Travis-CI-applikasjonene oppfordres til å gjennomgå sikkerhets- og revisjonslogger for å identifisere uregelmessigheter og uvanlig aktivitet.
Det er foreløpig ikke klart hvordan tokenene falt i hendene på angriperne, men GitHub mener at de ikke ble oppnådd som et resultat av en kompromittering av selskapets infrastruktur, siden tokens for å autorisere tilgang fra eksterne systemer ikke lagres på GitHub-siden i originalformatet som er egnet for bruk. Analyse av angriperens oppførsel viste at hovedformålet med å laste ned innholdet i private depoter sannsynligvis er å analysere tilstedeværelsen av konfidensielle data i dem, for eksempel tilgangsnøkler, som kan brukes til å fortsette angrepet på andre deler av infrastrukturen. .
Kilde: opennet.ru