Недавняя атака на GitHub оказалась целенаправленной

12 апреля киберпреступник украл OAuth-токены интеграторов Heroku и Travis CI и использовал для загрузки частных репозиториев нескольких организаций.

Две системы непрерывной интеграции (continuous integration, CI) помогают компаниям автоматизировать сканирование изменений в коде для выявления уязвимостей и вредоносных фрагментов до их запуска в производство.

CI-системы используют токены аутентификации для облегчения автоматического процесса, и недавняя кибератака произошла после компрометации токенов.

По сообщениям GitHub, токены не хранятся на платформе в их первоначальном формате для предупреждения использования злоумышленниками.

С помощью украденных токенов локальный пользователь прошел аутентификацию в GitHub API, затем составил список организаций для всех учетных записей, к которым мог получить доступ. Из списка компаний злоумышленник выбрал интересующие цели и загрузил свои частные репозитории. По заявлению GitHub, киберпреступник разместил список организаций с целью идентификации учетных записей и клонирования частных репозиториев .

«GitHub считает, что эти атаки были целенаправленными, основываясь на имеющейся информации и нашем анализе действий злоумышленника с использованием скомпрометированных OAuth-токенов, выданных Travis CI и Heroku», - отмечает платформа хостинга кода.

GitHub также уведомил пострадавшие организации и призвал пользователей следить за Heroku и Travis CI для получения актуальной информации по этому вопросу.