GitHub ngingetkeun pangguna ngeunaan serangan anu ditujukeun pikeun ngaunduh data tina repositori pribadi nganggo token OAuth anu dikompromi pikeun jasa Heroku sareng Travis-CI. Dilaporkeun yén nalika serangan éta, data bocor tina repositori swasta sababaraha organisasi anu muka aksés ka repositori pikeun platform Heroku PaaS sareng sistem integrasi kontinyu Travis-CI. Di antara korban nyaéta GitHub sareng proyék NPM.
Para panyerang tiasa nimba tina repositori GitHub swasta konci pikeun ngakses Amazon Web Services API, anu dianggo dina infrastruktur proyék NPM. Konci anu dihasilkeun ngamungkinkeun aksés ka bungkusan NPM anu disimpen dina layanan AWS S3. GitHub percaya yén sanajan meunang aksés ka repositori NPM, éta henteu ngarobih bungkusan atanapi nampi data anu aya hubunganana sareng akun pangguna. Ogé dicatet yén saprak infrastruktur GitHub.com sareng NPM misah, para panyerang henteu gaduh waktos pikeun ngaunduh eusi repositori GitHub internal anu henteu aya hubunganana sareng NPM sateuacan token masalah diblokir.
Serangan éta dideteksi dina 12 April, saatos panyerang nyobian nganggo konci pikeun API AWS. Engké, serangan sarupa kacatet dina sababaraha organisasi lianna, nu ogé dipaké Heroku na Travis-CI tokens aplikasi. Organisasi anu kapangaruhan teu acan namina, tapi béwara individu parantos dikirim ka sadaya pangguna anu kapangaruhan ku serangan éta. Pamaké aplikasi Heroku sareng Travis-CI didorong pikeun marios log kaamanan sareng audit pikeun ngaidentipikasi anomali sareng kagiatan anu teu biasa.
Henteu acan écés kumaha token éta murag kana panyerang, tapi GitHub yakin yén aranjeunna henteu dicandak salaku hasil tina kompromi infrastruktur perusahaan, sabab token pikeun otorisasi aksés tina sistem éksternal henteu disimpen di sisi GitHub. dina format aslina cocog pikeun pamakéan. Analisis paripolah panyerang nunjukkeun yén kamungkinan yén tujuan utama pikeun ngunduh eusi gudang pribadi nyaéta pikeun nganalisis ayana data rahasia di jerona, sapertos konci aksés, anu tiasa dianggo pikeun neraskeun serangan ka elemen séjén. infrastruktur.
sumber: opennet.ru