Il 12 aprile, GitHub Security ha avviato un’indagine che ha portato alla luce le prove che un aggressore ha abusato dei token utente OAuth rubati emessi a due integratori OAuth di terze parti, Heroku e Travis-CI, per scaricare dati da dozzine di organizzazioni, tra cui npm. Le applicazioni gestite da questi integratori sono state utilizzate dagli utenti di GitHub, incluso lo stesso GitHub. Non crediamo che l’attaccante abbia ottenuto questi token tramite una compromissione di GitHub o dei suoi sistemi, perché i token in questione non sono archiviati da GitHub nei loro formati originali e utilizzabili. A seguito di un’indagine immediata, abbiamo divulgato le nostre scoperte a Heroku e Travis-CI il 13 e 14 aprile; maggiori dettagli sono disponibili di seguito e aggiorneremo questo blog man mano che ne sapremo di più.
Analizzando l’intera piattaforma GitHub, abbiamo grande certezza che i token utente OAuth compromessi da Heroku e Travis-CI- le applicazioni OAuth mantenute sono state rubate e abusate per scaricare repository privati appartenenti a dozzine di organizzazioni vittime che utilizzavano queste app. La nostra analisi di altri comportamenti da parte dell’attore della minaccia suggerisce che gli attori potrebbero minare i contenuti del repository privato scaricato, a cui aveva accesso il token OAuth rubato, per segreti che potrebbero essere utilizzati per ruotare in altre infrastrutture.
Applicazioni OAuth interessate al 15 aprile 2022:
- Heroku Dashboard (ID: 145909)
- Dashboard Heroku (ID: 628778)
- Dashboard Heroku – Anteprima (ID: 313468)
- Heroku Dashboard – Classic (ID: 363831)
- Travis CI (ID: 9216)
Condividiamo questo oggi perché riteniamo che gli attacchi siano in corso e che sia necessaria un’azione affinché i clienti si proteggano.
Impatto su GitHub.com e npm
Il rilevamento iniziale relativo a questa campagna è avvenuto il 12 aprile quando GitHub Security ha identificato l’accesso non autorizzato a la nostra infrastruttura di produzione npm utilizzando una chiave API AWS compromessa. Sulla base di analisi successive, riteniamo che questa chiave API sia stata ottenuta dall’attaccante quando ha scaricato una serie di repository npm privati utilizzando un token OAuth rubato da una delle due applicazioni OAuth di terze parti interessate descritte sopra. Dopo aver scoperto il più ampio furto di token OAuth di terze parti non archiviati da GitHub o npm la sera del 13 aprile, ci siamo immediatamente attivati per proteggere GitHub e npm revocando i token associati a GitHub e l’uso interno di npm di queste applicazioni compromesse.
Riteniamo che i due impatti su npm siano l’accesso e il download non autorizzati ai repository privati nell’organizzazione npm su GitHub.com e il potenziale accesso ai pacchetti npm così come esistono in AWS S3 Conservazione. A questo punto, valutiamo che l’attaccante non ha modificato alcun pacchetto né ottenuto l’accesso a dati o credenziali dell’account utente. Stiamo ancora lavorando per capire se l’attaccante ha visualizzato o scaricato pacchetti privati. npm utilizza un’infrastruttura completamente separata da GitHub.com; GitHub non è stato interessato da questo attacco originale. Sebbene l’indagine prosegua, non abbiamo trovato prove che altri repository privati di proprietà di GitHub siano stati clonati dall’attaccante utilizzando token OAuth rubati di terze parti.
Come ha risposto GitHub a proteggere gli utenti di GitHub.com
Una volta che GitHub ha identificato i token OAuth di terze parti rubati che interessano gli utenti di GitHub, GitHub ha adottato misure immediate per rispondere e proteggere gli utenti. GitHub ha contattato Heroku e Travis-CI per chiedere loro di avviare le proprie indagini di sicurezza, revocare tutti i token utente OAuth associati alle applicazioni interessate e iniziare a lavorare per notificare i propri utenti.
GitHub rimane strettamente impegnati con entrambe le organizzazioni nel tentativo di assistere le loro attività di indagine e ripristino e proteggere meglio i clienti condivisi.
Cosa devono sapere i clienti e le organizzazioni GitHub
GitHub sta attualmente lavorando per identificare e notificare tutti gli utenti e le organizzazioni vittime conosciute che abbiamo scoperto attraverso la nostra analisi su GitHub.com. Questi clienti riceveranno un’e-mail di notifica da GitHub con dettagli aggiuntivi e passaggi successivi per aiutare nella propria risposta entro le prossime 72 ore.
Se non ricevi una notifica, tu e/o la tua organizzazione non è stata identificata come interessata. GitHub continuerà a notificare eventuali ulteriori utenti o organizzazioni interessati man mano che vengono identificati. Tuttavia, dovresti rivedere periodicamente quali applicazioni OAuth hai autorizzato o sei autorizzato ad accedere alla tua organizzazione e sfoltire tutto ciò che non è più necessario. Puoi anche esaminare i log di controllo della tua organizzazione e i log di sicurezza dell’account utente per attività impreviste o anomale.
Se hai domande o dubbi
Se hai domande o hai bisogno di assistenza in merito alle applicazioni OAuth interessate gestite da Heroku, contatta la sicurezza e il supporto di Salesforce/Heroku all’indirizzo help.heroku.com e monitora il sito Salesforce Trust per ulteriori aggiornamenti .
Se hai domande o hai bisogno di assistenza in merito alle applicazioni OAuth interessate gestite da Travis CI, contatta compliance@travis-ci.com.
I clienti che vengono contattati direttamente da GitHub in merito a questo problema sono invitati a contattarci secondo le indicazioni nella notifica che hai ricevuto.
Per altre domande su GitHub e npm puoi contattare il supporto di GitHub.
Conclusione
La sicurezza e l’affidabilità di GitHub, npm e il più ampio ecosistema di sviluppatori sono il nostro massima priorità. La nostra indagine è in corso e aggiorneremo questo blog e le nostre comunicazioni con i clienti interessati, man mano che ne sapremo di più.
