Το GitHub αποκάλυψε σήμερα ότι ένας εισβολέας χρησιμοποιεί κλεμμένα user tokens OAuth (που έχουν εκδοθεί στο Heroku και το Travis-CI) για τη λήψη δεδομένων από ιδιωτικά repositories.
Δείτε επίσης: GitHub: Αποκλείει αυτόματα δεσμεύσεις που περιέχουν κλειδιά API
Από τότε που ανακαλύφθηκε για πρώτη φορά αυτή η καμπάνια στις 12 Απριλίου 2022, ο απειλητικός παράγοντας έχει ήδη πρόσβαση και έχει κλέψει δεδομένα από δεκάδες οργανώσεις θυμάτων που χρησιμοποιούν εφαρμογές OAuth που διατηρούνται από Heroku και Travis-CI, συμπεριλαμβανομένων των npm.
«Οι εφαρμογές που διατηρούνται από αυτούς τους integrators χρησιμοποιήθηκαν από χρήστες του GitHub, συμπεριλαμβανομένου του ίδιου του GitHub», αποκάλυψε σήμερα ο Mike Hanley, Chief Security Officer (CSO) στο GitHub.
Ανακαλύψτε τον Μικροσκοπικό Εξωπλανήτη κοντά στο Άστρο του Μπαρναρντ
Το ρομπότ AV1 βοηθά άρρωστα παιδιά να μην χάνουν μαθήματα
Τυφώνας Milton: Αναβάλλεται η εκτόξευση του Europa Clipper
«Δεν πιστεύουμε ότι ο εισβολέας απέκτησε αυτά τα tokens μέσω μιας παραβίασης του GitHub ή των συστημάτων του, επειδή τα εν λόγω tokens δεν αποθηκεύονται από το GitHub στην αρχική, χρησιμοποιήσιμη μορφή τους.»
«Η ανάλυσή μας για άλλη συμπεριφορά από τον απειλητικό παράγοντα υποδηλώνει ότι οι χάκερ μπορεί να εξορύσσουν το περιεχόμενο του ιδιωτικού repository που κατέβασε, στο οποίο είχε πρόσβαση το κλεμμένο token OAuth, για μυστικά που θα μπορούσαν να χρησιμοποιηθούν για περιστροφή σε άλλη υποδομή.»
Δείτε επίσης: Περισσότερα τρωτά σημεία ασφαλείας εντοπίζονται από τη σάρωση κώδικα GitHub
Σύμφωνα με τον Hanley, η λίστα των επηρεαζόμενων εφαρμογών OAuth περιλαμβάνει τα παρακάτω:
- Heroku Dashboard (ID: 145909)
- Heroku Dashboard (ID: 628778)
- Heroku Dashboard – Preview (ID: 313468)
- Heroku Dashboard – Classic (ID: 363831)
- Travis CI (ID: 9216)
Το GitHub Security εντόπισε τη μη εξουσιοδοτημένη πρόσβαση στην υποδομή παραγωγής npm του GitHub στις 12 Απριλίου αφού ο εισβολέας χρησιμοποίησε ένα παραβιασμένο κλειδί AWS API.
Ο εισβολέας πιθανότατα απέκτησε το κλειδί API μετά τη λήψη πολλών ιδιωτικών npm repositories χρησιμοποιώντας κλεμμένα tokens OAuth.
“Με την ανακάλυψη της ευρύτερης κλοπής third-party tokens OAuth που δεν ήταν αποθηκευμένα από το GitHub ή το npm το απόγευμα της 13ης Απριλίου, λάβαμε αμέσως δράση για να προστατεύσουμε το GitHub και το npm ανακαλώντας τα tokens που σχετίζονται με το GitHub και την εσωτερική χρήση αυτών των παραβιασμένων εφαρμογών από το npm.” πρόσθεσε ο Hanley.
Ο αντίκτυπος στον οργανισμό npm περιλαμβάνει μη εξουσιοδοτημένη πρόσβαση σε ιδιωτικά repositories GitHub.com και “δυνητική πρόσβαση” σε πακέτα npm στο χώρο αποθήκευσης AWS S3.
Το GitHub επικοινώνησε με τους Heroku και Travis-CI για να τους ζητήσει να ξεκινήσουν τις δικές τους έρευνες ασφαλείας, να ανακαλέσουν όλα τα user tokens ΟAuth που σχετίζονται με τις επηρεαζόμενες εφαρμογές και να αρχίσουν να ειδοποιούν τους δικούς τους χρήστες.
Τα ιδιωτικά repositories του GitHub δεν επηρεάζονται
Ενώ ο εισβολέας μπόρεσε να κλέψει δεδομένα από τα παραβιασμένα repositories, το GitHub πιστεύει ότι κανένα από τα πακέτα δεν τροποποιήθηκε και δεν έγινε πρόσβαση σε δεδομένα λογαριασμού χρήστη ή credentials στο περιστατικό.
“Το npm χρησιμοποιεί εντελώς ξεχωριστή υποδομή από το GitHub.com. Το GitHub δεν επηρεάστηκε σε αυτήν την αρχική επίθεση”, είπε ο Hanley.
“Αν και η έρευνα συνεχίζεται, δεν βρήκαμε στοιχεία ότι άλλα ιδιωτικά repos που ανήκουν στο GitHub κλωνοποιήθηκαν από τον εισβολέα με την χρήση κλεμμένων third-party tokens ΟAuth.”
Το GitHub εργάζεται για να ειδοποιεί όλους τους επηρεαζόμενους χρήστες και οργανισμούς καθώς ταυτοποιούνται με πρόσθετες πληροφορίες.
Δείτε επίσης: Microsoft Sentinel: Αποκτά παρακολούθηση απειλών για GitHub repos
Θα πρέπει να ελέγξετε τα αρχεία καταγραφής ελέγχου του οργανισμού σας και τα αρχεία καταγραφής ασφαλείας του λογαριασμού χρήστη για ανώμαλη, πιθανή κακόβουλη δραστηριότητα.
Μπορείτε να βρείτε περισσότερες πληροφορίες σχετικά με το πώς απάντησε το GitHub για την προστασία των χρηστών του και τι πρέπει να γνωρίζουν οι πελάτες και οι οργανισμοί στην ειδοποίηση ασφαλείας που δημοσιεύτηκε την Παρασκευή.
Πηγή πληροφοριών: bleepingcomputer.com