GitHub попередив користувачів про атаку, націлену на завантаження даних із приватних репозиторіїв з використанням скомпрометованих токенів OAuth, згенерованих для сервісів Heroku та Travis-CI. Повідомляється, що під час атаки стався витік даних із приватних репозиторіїв деяких організацій, які відкрили доступ до репозиторій для PaaS-платформи Heroku та системи безперервної інтеграції Travis-CI. Серед постраждалих виявилася компанія GitHub та проект NPM.
Атакуючі змогли отримати з приватних репозиторіїв GitHub ключ для доступу до API Amazon Web Services, який використовується в інфраструктурі проекту NPM. Отриманий ключ дозволяв отримати доступ до NPM-пакетів, що зберігаються у сервісі AWS S3. GitHub вважає, що, незважаючи на отриманий доступ до репозиторій NPM, справа не дійшла до модифікації пакетів або отримання даних, пов'язаних з обліковими записами користувачів. Також зазначається, що оскільки інфраструктури GitHub.com і NPM розділені, атакуючі не встигли завантажити вміст внутрішніх репозиторіїв GitHub, не пов'язаних з NPM, до того, як проблемні токени були заблоковані.
Атаку було зафіксовано 12 квітня, після того як атакуючі спробували використати ключ до API AWS. Пізніше зафіксовані схожі атаки і деякі інші організації, у яких також використовувалися токени додатків Heroku і Travis-CI. Постраждалі організації не називаються, але всім користувачам, яких торкнулася атака, надіслано відповідні індивідуальні повідомлення. Користувачам додатків Heroku та Travis-CI рекомендовано вивчити логи безпеки та аудиту для виявлення аномалій та нетипової активності.
Як токени потрапили в руки атакуючих поки не ясно, але GitHub вважає, що вони отримані не в результаті компрометації інфраструктури компанії, так як токени для авторизації доступу із зовнішніх систем не зберігаються на стороні GitHub у вихідному форматі, придатному для використання. Аналіз поведінки атакуючого показав, що, ймовірно, основною метою завантаження вмісту приватних репозиторіїв є аналіз наявності в них конфіденційних даних, таких як ключі доступу, які могли б використовуватися для продовження атаки на інші елементи інфраструктури.
Джерело: opennet.ru