GitHub varnade användare för en attack som syftade till att ladda ner data från privata arkiv med komprometterade OAuth-tokens genererade för Heroku- och Travis-CI-tjänsterna. Det rapporteras att under attacken läckte data från vissa organisationers privata förråd, vilket öppnade åtkomst till förråd för Heroku PaaS-plattformen och Travis-CI-systemet för kontinuerlig integration. Bland offren fanns GitHub och NPM-projektet.
Angriparna kunde extrahera nyckeln från privata GitHub-lager för att komma åt Amazon Web Services API, som används i NPM-projektets infrastruktur. Den resulterande nyckeln tillät åtkomst till NPM-paket lagrade i AWS S3-tjänsten. GitHub tror att trots att de fick tillgång till NPM-förråd, modifierade den inte paket eller fick data kopplade till användarkonton. Det noteras också att eftersom GitHub.com- och NPM-infrastrukturerna är separata, hann angriparna inte ladda ner innehållet i interna GitHub-repositories som inte var associerade med NPM innan de problematiska tokens blockerades.
Attacken upptäcktes den 12 april, efter att angriparna försökte använda nyckeln till AWS API. Senare registrerades liknande attacker på några andra organisationer, som också använde Heroku- och Travis-CI-applikationstokens. De berörda organisationerna har inte namngetts, men individuella meddelanden har skickats till alla användare som drabbats av attacken. Användare av Heroku- och Travis-CI-applikationerna uppmuntras att granska säkerhets- och granskningsloggar för att identifiera avvikelser och ovanlig aktivitet.
Det är ännu inte klart hur tokens föll i händerna på angriparna, men GitHub menar att de inte erhölls som ett resultat av en kompromiss med företagets infrastruktur, eftersom tokens för att auktorisera åtkomst från externa system inte lagras på GitHub-sidan i originalformat som är lämpligt för användning. Analys av angriparens beteende visade att huvudsyftet med att ladda ner innehållet i privata arkiv sannolikt är att analysera förekomsten av konfidentiell data i dem, såsom åtkomstnycklar, som kan användas för att fortsätta attacken mot andra delar av infrastrukturen .
Källa: opennet.ru