GitHub 警告用戶,存在旨在使用為 Heroku 和 Travis-CI 服務產生的受損 OAuth 令牌從私人儲存庫下載資料的攻擊。 據悉,在攻擊過程中,一些組織的私人儲存庫中的資料被洩露,這些組織開放了對Heroku PaaS平台和Travis-CI持續整合系統儲存庫的存取。 受害者包括 GitHub 和 NPM 專案。
攻擊者能夠從私有 GitHub 儲存庫中提取存取 NPM 專案基礎架構中使用的 Amazon Web Services API 的金鑰。 產生的金鑰允許存取儲存在 AWS S3 服務中的 NPM 套件。 GitHub 認為,儘管獲得了 NPM 儲存庫的存取權限,但它沒有修改套件或取得與使用者帳戶相關的資料。 另外值得注意的是,由於 GitHub.com 和 NPM 基礎設施是分開的,因此在有問題的代幣被阻止之前,攻擊者沒有時間下載與 NPM 無關的內部 GitHub 儲存庫的內容。
這次攻擊於 12 月 XNUMX 日被發現,當時攻擊者試圖使用 AWS API 的金鑰。 後來,其他一些組織也記錄了類似的攻擊,這些組織也使用了 Heroku 和 Travis-CI 應用程式代幣。 受影響的組織尚未被命名,但已向所有受攻擊影響的用戶發送了單獨的通知。 鼓勵 Heroku 和 Travis-CI 應用程式的使用者檢查安全和審核日誌,以識別異常和異常活動。
目前尚不清楚這些代幣是如何落入攻擊者手中的,但GitHub 認為這些代幣並不是由於公司基礎設施遭到破壞而獲得的,因為用於授權外部系統訪問的代幣並不存儲在GitHub端以適合使用的原始格式。 對攻擊者行為的分析表明,下載私人儲存庫內容的主要目的可能是分析其中是否存在機密數據,例如存取密鑰,這些數據可用於繼續攻擊基礎設施的其他元素。
來源: opennet.ru