GitHub varoval používateľov pred útokom zameraným na sťahovanie údajov zo súkromných úložísk pomocou kompromitovaných tokenov OAuth generovaných pre služby Heroku a Travis-CI. Uvádza sa, že počas útoku unikli údaje zo súkromných úložísk niektorých organizácií, čím sa otvoril prístup k úložiskám pre platformu Heroku PaaS a systém kontinuálnej integrácie Travis-CI. Medzi obeťami boli GitHub a projekt NPM.
Útočníkom sa podarilo extrahovať zo súkromných úložísk GitHub kľúč na prístup k Amazon Web Services API, ktoré sa používa v infraštruktúre projektu NPM. Výsledný kľúč umožnil prístup k balíkom NPM uloženým v službe AWS S3. GitHub sa domnieva, že napriek získaniu prístupu k úložiskám NPM neupravoval balíčky ani nezískal údaje spojené s používateľskými účtami. Je tiež potrebné poznamenať, že keďže infraštruktúry GitHub.com a NPM sú oddelené, útočníci nemali čas stiahnuť obsah interných úložísk GitHub, ktoré nie sú spojené s NPM, kým boli problematické tokeny zablokované.
Útok bol zistený 12. apríla po tom, čo sa útočníci pokúsili použiť kľúč k AWS API. Neskôr boli podobné útoky zaznamenané aj na niektoré ďalšie organizácie, ktoré tiež používali tokeny aplikácií Heroku a Travis-CI. Dotknuté organizácie neboli menované, no všetkým používateľom, ktorých sa útok týka, boli odoslané jednotlivé upozornenia. Používateľom aplikácií Heroku a Travis-CI sa odporúča, aby si prezreli protokoly zabezpečenia a auditu s cieľom identifikovať anomálie a nezvyčajné aktivity.
Zatiaľ nie je jasné, ako sa tokeny dostali do rúk útočníkov, ale GitHub sa domnieva, že neboli získané v dôsledku kompromitácie infraštruktúry spoločnosti, pretože tokeny na autorizáciu prístupu z externých systémov nie sú uložené na strane GitHubu. v pôvodnom formáte vhodnom na použitie. Analýza správania útočníka ukázala, že hlavným účelom sťahovania obsahu súkromných úložísk bude pravdepodobne analýza prítomnosti dôverných údajov v nich, ako sú prístupové kľúče, ktoré by sa mohli použiť na pokračovanie útoku na iné prvky infraštruktúry. .
Zdroj: opennet.ru