Een aanvaller gebruikte gestolen OAuth-tokens van twee OAuth-installatieprogramma’s om privé GitHub-opslagplaatsen van tientallen afzonderlijke organisaties te bekijken en te downloaden in een recente campagne, en GitHub-beveiligingsfunctionarissen zeggen dat er aanwijzingen zijn dat de aanvallers mogelijk ook de opslagplaatsen ontginnen voor gegevens die kunnen worden gebruikt bij andere aanvallen.
Vertegenwoordigers misbruikten tokens van apps van Heroku en Travis-CI, en GitHub bracht de twee bedrijven op de hoogte van het incident op 13 en 14 april, nadat ze de campagne op 12 april hadden ontdekt. Het is eigendom van Github. De aanvallers gebruikten een gestolen AWS API-sleutel om toegang te krijgen tot de npm-infrastructuur, die GitHub’s beveiligingsinbraak waarschuwde.
“Op basis van latere analyse zijn we van mening dat de aanvaller deze API-sleutel heeft verkregen toen hij een set privé-npm-repository’s downloadde met behulp van een OAuth-token van een van de twee betrokken OAuth-applicaties van derden die hierboven zijn beschreven. Na detectie van de bredere diefstal van derde -party OAuth-tokens die niet zijn opgeslagen door GitHub of npm Op de avond van 13 april hebben we onmiddellijk actie ondernomen om GitHub en npm te beschermen door tokens die zijn gekoppeld aan GitHub en het interne gebruik van npm van deze gehackte apps in te trekken,” Mike Hanley, CSO bij GitHub , zei in een mail.
“Wij zijn van mening dat de twee effecten op npm zijn: ongeautoriseerde toegang tot en downloaden van de privé-repository’s van de npm-organisatie op GitHub.com en de mogelijkheid om toegang te krijgen tot npm-pakketten zoals ze zich in AWS S3-opslag bevinden.”
Hanley zei dat er geen bewijs was dat de aanvallers een van de pakketten hebben gewijzigd of toegang hebben gekregen tot gebruikersgegevens of inloggegevens. Omdat npm een infrastructuur onderhoudt die gescheiden is van de bredere GitHub-organisatie, wordt GitHub niet direct getroffen door de hack. GitHub stuurt e-mails naar alle klanten waarvan ze weten dat ze zijn getroffen door de inbraak en heeft met zowel Heroku als Travis-CI samengewerkt aan hun antwoorden.
Nadat GitHub gestolen OAuth-tokens van derden had geïdentificeerd die van invloed waren op GitHub-gebruikers, ondernam GitHub onmiddellijk stappen om te reageren en gebruikers te beschermen. GitHub nam contact op met Heroku en Travis-CI met het verzoek hun eigen beveiligingsonderzoeken te starten en alle bijbehorende OAuth-gebruikerstokens in te trekken, zei Hanley. getroffen toepassingen, en beginnen te werken om gebruikers op de hoogte te stellen.
“Terwijl het onderzoek doorgaat, hebben we geen bewijs gevonden dat de aanvaller andere privé-repo’s van GitHub heeft gekloond met behulp van gestolen OAuth-tokens van derden.”
Hanley zei dat alle klantorganisaties die geen e-mailmelding ontvangen, ervan uit kunnen gaan dat ze niet worden getroffen door de inbraak, maar raadt klanten aan regelmatig hun lijst met geautoriseerde OAuth-applicaties te bekijken en alle niet langer nodig te verwijderen.
“Bekroonde schrijver. Social media-specialist. Introvert. Ongeneeslijke twitterfan. Organisator. Fervent popcultuurliefhebber.”