Сегодня GitHub сообщил, что хакеры используют украденные токены пользователей OAuth (выданные Heroku и Travis-CI) для загрузки данных из частных репозиториев.
С 12 апреля 2022 года, кода специалистами впервые была обнаружена утечка, злоумышленник получил доступ и похитил данные у десятков организаций-жертв, используя OAuth-приложения, поддерживаемые Heroku и Travis-CI, включая npm.
"Приложения, поддерживаемые этими интеграторами, использовались пользователями GitHub, включая сам GitHub", - заявил сегодня Майк Хэнли, директор по безопасности (CSO) GitHub.
Однако Хэнли не считает, что злоумышленнику удалось получить эти токены через компрометацию GitHub или его систем, поскольку данные токены "не хранятся в GitHub в оригинальном, пригодном для использования формате".
"Наш анализ поведения угрожающего субъекта позволяет предположить, что он, возможно, изучает содержимое загруженного частного репозитория, к которому имел доступ украденный OAuth-токен, на предмет секретов, которые могут быть использованы для проникновения в другие инфраструктуры".
По словам Хэнли, список приложений, подвергшихся воздействию OAuth, включает:
- Heroku Dashboard (ID: 145909)
- Heroku Dashboard (ID: 628778)
- Heroku Dashboard - Preview (ID: 313468)
- Heroku Dashboard - Classic (ID: 363831)
- Travis CI (ID: 9216)
Служба безопасности GitHub выявила несанкционированный доступ к производственной инфраструктуре npm GitHub 12 апреля после того, как злоумышленник использовал скомпрометированный ключ API AWS.
Вероятно, злоумышленник получил API-ключ после загрузки нескольких частных репозиториев npm с помощью украденных OAuth-токенов.
"Обнаружив кражу сторонних OAuth-токенов, не хранившихся в GitHub или npm вечером 13 апреля, мы немедленно приняли меры по защите GitHub и npm, отозвав токены, связанные с внутренним использованием GitHub и npm этих скомпрометированных приложений", - добавил Хэнли.
Последствия для организации npm включают несанкционированный доступ к частным репозиториям GitHub.com и "потенциальный доступ" к пакетам npm в хранилище AWS S3.
Частные репозитории GitHub не пострадали Хотя злоумышленник смог украсть данные из взломанных репозиториев, GitHub считает, что ни один из пакетов не был изменен, а данные учетных записей пользователей или учетные данные не были доступны в ходе инцидента.
"npm использует совершенно отдельную инфраструктуру от GitHub.com; GitHub не был затронут этой первоначальной атакой", - сказал Хэнли.
"Хотя расследование продолжается, мы не нашли доказательств того, что другие частные репозитории, принадлежащие GitHub, были клонированы злоумышленником с помощью украденных сторонних OAuth-токенов".
GitHub работает над уведомлением всех затронутых пользователей и организаций по мере выявления дополнительной информации.
Пользователем следует просмотреть журналы аудита вашей организации и журналы безопасности учетных записей пользователей на предмет аномальной, потенциально вредоносной активности.
Более подробную информацию об этом инциденте можно найти на странице GitHub.
