GitHub parantos ngingetkeun pangguna ngeunaan serangan anu ditujukeun pikeun ngaunduh data tina repositori pribadi nganggo token OAuth anu dikompromi pikeun Heroku sareng Travis-CI. Serangan éta dilaporkeun nyababkeun bocorna data tina repositori swasta milik sababaraha organisasi anu parantos muka repositori pikeun platform Heroku PaaS sareng sistem integrasi kontinyu Travis-CI. GitHub sareng proyék NPM mangrupikeun anu kapangaruhan.
Panyerang tiasa nimba konci aksés Amazon Web Services API anu dianggo dina infrastruktur proyék NPM tina repositori GitHub swasta. Konci ieu ngamungkinkeun aksés ka bungkusan NPM anu disimpen dina AWS S3. GitHub percaya yén sanaos kéngingkeun aksés kana repositori NPM, panyerang henteu ngarobih bungkusan atanapi nampi data anu aya hubunganana sareng akun pangguna. Ogé dicatet yén saprak infrastruktur GitHub.com sareng NPM misah, para panyerang henteu tiasa ngaunduh eusi repositori GitHub internal anu henteu aya hubunganana sareng NPM sateuacan token masalah diblokir.
Serangan éta dideteksi dina 12 April saatos panyerang nyobian nganggo konci API AWS. Serangan anu sami engké dideteksi dina sababaraha organisasi anu sanés, ogé ngagunakeun token aplikasi Heroku sareng Travis-CI. Organisasi anu kapangaruhan teu acan namina, tapi sadaya pangguna anu kapangaruhan parantos dikirim bewara individu. Pamaké Heroku sareng Travis-CI disarankan pikeun marios log kaamanan sareng audit pikeun anomali sareng kagiatan anu teu biasa.
Kumaha token murag kana panangan panyerang tetep teu écés, tapi GitHub yakin yén éta henteu dicandak ku kompromi infrastruktur perusahaan, sabab token aksés pikeun sistem éksternal henteu disimpen dina GitHub dina format aslina anu tiasa dianggo. Analisis paripolah panyerang ngungkabkeun yén tujuan utami pikeun ngunduh eusi repositori swasta sigana nyaéta pikeun nganalisis data sénsitip, sapertos konci aksés, anu tiasa dianggo pikeun neraskeun serangan ka elemen infrastruktur anu sanés.
sumber: opennet.ru
