05/05/22
12 апреля киберпреступник украл OAuth-токены интеграторов Heroku и Travis CI и использовал для загрузки частных репозиториев нескольких организаций, напоминает Securitylab.
Две системы непрерывной интеграции (continuous integration, CI) помогают компаниям автоматизировать сканирование изменений в коде для выявления уязвимостей и вредоносных фрагментов до их запуска в производство.
CI-системы используют токены аутентификации для облегчения автоматического процесса, и недавняя кибератака произошла после компрометации токенов.
По сообщениям GitHub, токены не хранятся на платформе в их первоначальном формате для предупреждения использования злоумышленниками.
С помощью украденных токенов локальный пользователь прошел аутентификацию в GitHub API, затем составил список организаций для всех учетных записей, к которым мог получить доступ. Из списка компаний злоумышленник выбрал интересующие цели и загрузил свои частные репозитории. По заявлению GitHub, киберпреступник разместил список организаций с целью идентификации учетных записей и частных репозиториев для клонирования.
«GitHub считает, что эти атаки были целенаправленными, основываясь на имеющейся информации и нашем анализе действий злоумышленника с использованием скомпрометированных OAuth-токенов, выданных Travis CI и Heroku», - отмечает платформа хостинга кода.
GitHub также уведомил пострадавшие организации и призвал пользователей следить за Heroku и Travis CI для получения актуальной информации по этому вопросу.
