GitHub a avertizat utilizatorii cu privire la un atac care vizează descărcarea de date din depozite private folosind token-uri OAuth compromise generate pentru serviciile Heroku și Travis-CI. Se raportează că în timpul atacului au fost scurse date din depozitele private ale unor organizații, care au deschis accesul la depozitele pentru platforma Heroku PaaS și sistemul de integrare continuă Travis-CI. Printre victime s-au numărat GitHub și proiectul NPM.
Atacatorii au reușit să extragă din depozitele private GitHub cheia de acces la Amazon Web Services API, folosită în infrastructura proiectului NPM. Cheia rezultată a permis accesul la pachetele NPM stocate în serviciul AWS S3. GitHub consideră că, deși a obținut acces la depozitele NPM, nu a modificat pachete și nu a obținut date asociate cu conturile de utilizator. De asemenea, se remarcă faptul că, deoarece infrastructurile GitHub.com și NPM sunt separate, atacatorii nu au avut timp să descarce conținutul depozitelor interne GitHub neasociate cu NPM înainte ca tokenurile problematice să fie blocate.
Atacul a fost detectat pe 12 aprilie, după ce atacatorii au încercat să folosească cheia API-ului AWS. Ulterior, au fost înregistrate atacuri similare asupra altor organizații, care au folosit și jetoane de aplicație Heroku și Travis-CI. Organizațiile afectate nu au fost denumite, dar au fost trimise notificări individuale tuturor utilizatorilor afectați de atac. Utilizatorii aplicațiilor Heroku și Travis-CI sunt încurajați să examineze jurnalele de securitate și de audit pentru a identifica anomaliile și activitățile neobișnuite.
Încă nu este clar cum au căzut token-urile în mâinile atacatorilor, dar GitHub consideră că acestea nu au fost obținute ca urmare a unui compromis al infrastructurii companiei, deoarece token-urile pentru autorizarea accesului din sistemele externe nu sunt stocate pe partea GitHub. în formatul original adecvat pentru utilizare. Analiza comportamentului atacatorului a arătat că scopul principal al descărcării conținutului depozitelor private este probabil să fie analizarea prezenței datelor confidențiale în acestea, cum ar fi cheile de acces, care ar putea fi folosite pentru a continua atacul asupra altor elemente ale infrastructurii. .
Sursa: opennet.ru