Разработчики GitHub сообщили, что неизвестные лица использовали ворованные токены OAuth (выпущенные Heroku и Travis-CI) для загрузки данных из чужих репозиториев. Первые признаки атаки заметили 12 апреля 2022 года, и к этому моменту злоумышленники уже украли данные десятков организаций.
Атаку выявили специалисты GitHub Security, обнаружив несанкционированный доступ к инфраструктуре GitHub npm, так как злоумышленники использовали скомпрометированный ключ API AWS. Этот ключ хакеры, вероятно, получили после изучения ряда частных репозиториев npm с использованием украденных токенов OAut.
«Злоумышленник злоупотребил украденными токенами OAuth, выданными двум сторонним интеграторам, Heroku и Travis-CI, для загрузки данных из десятков организаций, включая NPM, — гласит сообщение GitHub. — Приложения, поддерживаемые этими интеграторами, использовались пользователями GitHub и самим GitHub».
В компании говорят, что хакеры точно получили токены не путем компрометации GitHub или его систем, так как эти токены вообще не хранятся GitHub в пригодных для использования форматах.
«Анализ поведения злоумышленников предполагает, что они могли искать секреты в содержимом частных репозиториев, к которым давали доступ украденные токены OAuth, а затем эти секреты можно было использовать для проникновения в другие инфраструктуры».
По данным GitHub, список затронутых приложений OAuth включает:
- Heroku Dashboard (ID: 145909);
- Heroku Dashboard (ID: 628778);
- Heroku Dashboard – Preview (ID: 313468);
- Heroku Dashboard – Classic (ID: 363831);
- Travis CI (ID: 9216).
«Обнаружив массовую кражу сторонних токенов OAuth, не хранящихся в GitHub или npm, вечером 13 апреля мы незамедлительно приняли меры для их защиты, отозвав токены, связанные с внутренним использованием GitHub и npm этих скомпрометированных приложений», — добавляет глава по безопасности GitHub Майк Хэнли.
Сообщается, что со стороны npm атака включала несанкционированный доступ к частным репозиториям на GitHub.com и «потенциальный доступ» к пакетам npm в хранилище AWS S3.
Хотя неизвестным атакующим удалось похитить данные из скомпрометированных репозиториев, в GitHub полагают, что ни один из пакетов не был изменен, а также в ходе инцидента хакеры не получили доступ к пользовательским аккаунтами или учетным данным.
«Npm использует полностью отдельную от GitHub.com инфраструктуру, и первоначальная атака не затронула GitHub, — пишет Хэнли. — Хотя расследование продолжается, мы не обнаружили никаких доказательств того, что другие частные репозитории, принадлежащие GitHub, были клонированы злоумышленником с использованием украденных токенов OAuth».
В настоящее время GitHub уже уведомляет всех затронутых пользователей и компании о случившемся по мере их идентификации пострадавших.
