GitHub ostrzegł użytkowników o ataku mającym na celu pobranie danych z prywatnych repozytoriów przy użyciu skompromitowanych tokenów OAuth wygenerowanych dla usług Heroku i Travis-CI. Podaje się, że podczas ataku doszło do wycieku danych z prywatnych repozytoriów niektórych organizacji, co otworzyło dostęp do repozytoriów dla platformy Heroku PaaS i systemu ciągłej integracji Travis-CI. Wśród ofiar znalazł się GitHub i projekt NPM.
Atakującym udało się wydobyć z prywatnych repozytoriów GitHub klucz umożliwiający dostęp do API Amazon Web Services, wykorzystywanego w infrastrukturze projektu NPM. Powstały klucz umożliwił dostęp do pakietów NPM przechowywanych w usłudze AWS S3. GitHub uważa, że pomimo uzyskania dostępu do repozytoriów NPM, nie modyfikował pakietów ani nie pozyskiwał danych powiązanych z kontami użytkowników. Należy również zauważyć, że ponieważ infrastruktury GitHub.com i NPM są oddzielne, osoby atakujące nie miały czasu na pobranie zawartości wewnętrznych repozytoriów GitHub niezwiązanych z NPM, zanim problematyczne tokeny zostały zablokowane.
Atak został wykryty 12 kwietnia, po tym jak napastnicy próbowali wykorzystać klucz do API AWS. Później podobne ataki odnotowano na kilka innych organizacji, które również korzystały z tokenów aplikacyjnych Heroku i Travis-CI. Nie podano nazw organizacji, których dotyczy atak, ale do wszystkich użytkowników dotkniętych atakiem wysłano indywidualne powiadomienia. Zachęcamy użytkowników aplikacji Heroku i Travis-CI do przeglądania dzienników bezpieczeństwa i audytów w celu wykrycia anomalii i nietypowej aktywności.
Nie jest jeszcze jasne, w jaki sposób tokeny wpadły w ręce atakujących, ale GitHub uważa, że nie zostały one uzyskane w wyniku włamania się do infrastruktury firmy, gdyż tokeny autoryzujące dostęp z systemów zewnętrznych nie są przechowywane po stronie GitHuba w oryginalnym formacie nadającym się do użycia. Analiza zachowania atakującego wykazała, że głównym celem pobierania zawartości prywatnych repozytoriów będzie prawdopodobnie analiza obecności w nich poufnych danych, takich jak klucze dostępu, które mogłyby zostać wykorzystane do kontynuowania ataku na inne elementy infrastruktury .
Źródło: opennet.ru