Angreifer hackte Dutzende von Organisationen mit gestohlenen OAuth-Tokens

GitHub enthüllte heute, dass ein Angreifer gestohlene OAuth-Benutzertoken (ausgestellt für Heroku und Travis-CI) verwendet, um Daten aus privaten Repositories herunterzuladen.

Seit diese Kampagne am 12. April 2022 zum ersten Mal entdeckt wurde, hat der Bedrohungsakteur bereits auf Daten von Dutzenden von Opferorganisationen zugegriffen und diese gestohlen, indem er OAuth-Apps verwendet, die von Heroku und Travis-CI betrieben werden, einschließlich verstandenem npm.

„Von diesen Integratoren verwaltete Anwendungen wurden von GitHub-Benutzern verwendet, einschließlich GitHub selbst“, aufgedeckt heute Mike Hanley, Chief Security Officer (CSO) bei GitHub.

„Wir glauben nicht, dass der Angreifer diese Token durch eine Kompromittierung von GitHub oder seinen Systemen erhalten hat, da die fraglichen Token von GitHub nicht in ihren ursprünglich verwendbaren Formaten gespeichert werden.

„Unsere Analyse des Verhaltens anderer Bedrohungsakteure deutet darauf hin, dass die Akteure möglicherweise Inhalte aus dem hochgeladenen privaten Repository, auf das das gestohlene OAuth-Token Zugriff hatte, auf der Suche nach Geheimnissen ausnutzen, die zum Schwenken auf andere Infrastrukturen verwendet werden könnten.“

Laut Hanley umfasst die Liste der betroffenen OAuth-Anwendungen:

• Heroku-Dashboard (ID: 145909)
• Heroku-Dashboard (ID: 628778)
• Heroku-Dashboard – Übersicht (ID: 313468)
• Heroku Dashboard – Klassisch (ID: 363831)
• Travis CI (ID: 9216)

GitHub Security identifizierte am 12. April unbefugten Zugriff auf die npm-Produktionsinfrastruktur von GitHub, nachdem der Angreifer einen kompromittierten AWS-API-Schlüssel verwendet hatte.

Der Angreifer hat den API-Schlüssel wahrscheinlich erhalten, nachdem er mehrere private npm-Repositories mit gestohlenen OAuth-Token heruntergeladen hatte.

„Nachdem wir am Abend des 13. April den weitreichenden Diebstahl von OAuth-Token von Drittanbietern entdeckt hatten, die nicht von GitHub oder npm gespeichert wurden, haben wir sofort Maßnahmen ergriffen, um GitHub und npm zu schützen, indem wir Token widerrufen, die mit der internen Verwendung dieser kompromittierten Apps durch GitHub und npm verbunden sind.“ Hanley fügte hinzu.

Die Auswirkungen auf die npm-Organisation umfassen den unbefugten Zugriff auf private GitHub.com-Repositories und den „potenziellen Zugriff“ auf npm-Pakete im AWS S3-Speicher.

GitHub entdeckte Beweise dafür, dass ein Angreifer gestohlene OAuth-Benutzertoken missbraucht hat, die an zwei OAuth-Integratoren von Drittanbietern, Heroku und Travis-CI, ausgegeben wurden. Erfahren Sie mehr über die Auswirkungen auf GitHub, npm und unsere Benutzer. https://t.co/eB7IJfJfh1

– GitHub-Sicherheit (@GitHubSecurity) 15. April 2022

Private GitHub-Repositorys sind nicht betroffen

Obwohl der Angreifer möglicherweise Daten aus den kompromittierten Repositories gestohlen hat, glaubt GitHub, dass keines der Pakete modifiziert wurde und während des Vorfalls auf keine Benutzerkontodaten oder Anmeldeinformationen zugegriffen wurde.

„npm verwendet eine völlig andere Infrastruktur als GitHub.com; GitHub war von diesem ersten Angriff nicht betroffen“, sagte Hanley.

„Während die Untersuchung andauert, haben wir keine Beweise dafür gefunden, dass andere private Repositories, die zu GitHub gehören, vom Angreifer mit gestohlenen OAuth-Token von Drittanbietern geklont wurden.“

GitHub bemüht sich, alle betroffenen Benutzer und Organisationen zu benachrichtigen, sobald sie mit zusätzlichen Informationen identifiziert werden.

Sie sollten Ihre überprüfen Organisations-Audit-Logs und der Benutzerkonto-Sicherheitsprotokolle für alle anomalen und potenziell böswilligen Aktivitäten.

Hier finden Sie weitere Informationen darüber, wie GitHub reagiert hat, um seine Benutzer zu schützen, und was Kunden und Organisationen wissen müssen. in der am Freitag ausgegebenen Sicherheitswarnung.