Ein unbekannter böswilliger Akteur sammelt Daten aus privaten Code-Repositories, indem er gestohlene OAuth-Benutzertoken verwendet, die an Heroku und Travic-CI ausgegeben wurden.
Wie GitHub berichtete, gelang es dem Angreifer am vergangenen Dienstag, die Daten von „Dutzenden von Opfern“ zu stehlen.
„Die von diesen Integratoren verwalteten Anwendungen wurden von GitHub-Benutzern verwendet, einschließlich GitHub selbst“, sagte Mike Hanley, Sicherheitsdirektor bei GitHub.
Keine gestohlenen Zugangsdaten
Hanley erklärte weiter, dass der Angreifer diese Token nach einer GitHub-Verletzung nicht erhalten habe, bei der die gestohlenen Token nicht in ihrem ursprünglich verwendbaren Format gespeichert wurden.
„Unsere Analyse des Verhaltens anderer böswilliger Akteure legt nahe, dass Akteure den Inhalt des hochgeladenen privaten Repositorys, auf das das gestohlene OAuth-Token Zugriff hatte, auf der Suche nach Geheimnissen ausnutzen könnten, die zur Weitergabe an andere Infrastrukturen verwendet werden könnten“, fügte er hinzu.
Laut Hanley umfassen die betroffenen OAuth-Apps Heroku Dashboard (ID: 145909 und ID: 628778), Heroku Dashboard – Preview (ID: 313468), Heroku Dashboard – Classic (ID: 363831) und Travis CI (ID: 9216).
Der Angreifer wurde am 12. April entdeckt, als er versuchte, einen kompromittierten AWS-API-Schlüssel zu verwenden, um auf das npm-Produktionsframework von GitHub zuzugreifen. Es wird davon ausgegangen, dass der Angreifer den API-Schlüssel beim Herunterladen verschiedener privater npm-Repositories gefunden hat.
„Nachdem wir in der Nacht des 13. April den weitreichenden Diebstahl von OAuth-Token von Drittanbietern entdeckt hatten, die nicht von GitHub oder npm gespeichert wurden, haben wir sofort Maßnahmen ergriffen, um GitHub und npm zu schützen, indem wir Token widerrufen, die mit der internen Verwendung dieser kompromittierten Apps durch GitHub und npm verbunden sind.“ Hanley ausführlicher erklärt.
Wer auch immer hinter dem Angriff steckte, konnte Daten aus den betroffenen Repositories stehlen, war aber wahrscheinlich nicht in der Lage, die Pakete zu modifizieren oder Identitätsdaten oder Kontopasswörter zu erhalten.
„npm verwendet eine völlig separate Infrastruktur von GitHub.com; GitHub war von diesem ersten Angriff nicht betroffen“, sagte Hanley. „Während die Untersuchung fortgesetzt wird, haben wir keine Beweise dafür gefunden, dass der Angreifer andere private Repositories von GitHub mit gestohlenen OAuth-Token von Drittanbietern geklont hat.“
Über BleepingComputer
