GitHub je uporabnike opozoril na napad, katerega cilj je prenos podatkov iz zasebnih skladišč z uporabo ogroženih žetonov OAuth, ustvarjenih za storitvi Heroku in Travis-CI. Poročajo, da so med napadom podatki uhajali iz zasebnih skladišč nekaterih organizacij, ki so odprle dostop do skladišč za platformo Heroku PaaS in sistem za stalno integracijo Travis-CI. Med žrtvami sta bila GitHub in projekt NPM.
Napadalci so lahko iz zasebnih repozitorijev GitHub pridobili ključ za dostop do API-ja Amazon Web Services, ki se uporablja v infrastrukturi projekta NPM. Nastali ključ je omogočil dostop do paketov NPM, shranjenih v storitvi AWS S3. GitHub meni, da kljub pridobitvi dostopa do skladišč NPM ni spremenil paketov ali pridobil podatkov, povezanih z uporabniškimi računi. Opozoriti je treba tudi, da ker sta infrastrukturi GitHub.com in NPM ločeni, napadalci niso imeli časa prenesti vsebine notranjih repozitorijev GitHub, ki niso povezani z NPM, preden so bili problematični žetoni blokirani.
Napad je bil odkrit 12. aprila, potem ko so napadalci poskušali uporabiti ključ za API AWS. Kasneje so bili podobni napadi zabeleženi še na nekatere druge organizacije, ki so prav tako uporabljale žetone aplikacij Heroku in Travis-CI. Prizadete organizacije niso bile imenovane, so pa posamezna obvestila poslana vsem uporabnikom, ki jih je napad prizadel. Uporabnike aplikacij Heroku in Travis-CI spodbujamo, da pregledajo varnostne in revizijske dnevnike, da prepoznajo anomalije in nenavadne dejavnosti.
Kako so žetoni prišli v roke napadalcev, še ni jasno, vendar GitHub verjame, da niso bili pridobljeni kot posledica ogrožanja infrastrukture podjetja, saj žetoni za avtorizacijo dostopa iz zunanjih sistemov niso shranjeni na strani GitHub. v originalni obliki, primerni za uporabo. Analiza vedenja napadalca je pokazala, da je glavni namen prenosa vsebine zasebnih repozitorijev verjetno analiza prisotnosti zaupnih podatkov v njih, kot so dostopni ključi, ki bi se lahko uporabili za nadaljevanje napada na druge elemente infrastrukture. .
Vir: opennet.ru