GitHub 警告用户,存在旨在使用为 Heroku 和 Travis-CI 服务生成的受损 OAuth 令牌从私人存储库下载数据的攻击。 据悉,在攻击过程中,一些组织的私有存储库中的数据被泄露,这些组织开放了对Heroku PaaS平台和Travis-CI持续集成系统存储库的访问。 受害者包括 GitHub 和 NPM 项目。
攻击者能够从私有 GitHub 存储库中提取访问 NPM 项目基础设施中使用的 Amazon Web Services API 的密钥。 生成的密钥允许访问存储在 AWS S3 服务中的 NPM 包。 GitHub 认为,尽管获得了 NPM 存储库的访问权限,但它没有修改包或获取与用户帐户相关的数据。 还值得注意的是,由于 GitHub.com 和 NPM 基础设施是分开的,因此在有问题的令牌被阻止之前,攻击者没有时间下载与 NPM 无关的内部 GitHub 存储库的内容。
此次攻击于 12 月 XNUMX 日被发现,当时攻击者试图使用 AWS API 的密钥。 后来,其他一些组织也记录了类似的攻击,这些组织也使用了 Heroku 和 Travis-CI 应用程序代币。 受影响的组织尚未被命名,但已向所有受攻击影响的用户发送了单独的通知。 鼓励 Heroku 和 Travis-CI 应用程序的用户检查安全和审核日志,以识别异常和异常活动。
目前尚不清楚这些代币是如何落入攻击者手中的,但 GitHub 认为这些代币并不是由于公司基础设施遭到破坏而获得的,因为用于授权外部系统访问的代币并不存储在 GitHub 端以适合使用的原始格式。 对攻击者行为的分析表明,下载私有存储库内容的主要目的可能是分析其中是否存在机密数据,例如访问密钥,这些数据可用于继续攻击基础设施的其他元素。
来源: opennet.ru