Nền tảng lưu trữ mã dựa trên đám mây GitHub đã mô tả chiến dịch tấn công gần đây liên quan đến việc lạm dụng mã thông báo truy cập OAuth được cấp cho Heroku và Travis-CI là “có mục tiêu cao” về bản chất.
Mike Hanley của GitHub cho biết: “Kiểu hành vi này cho thấy kẻ tấn công chỉ lên danh sách các tổ chức nhằm xác định tài khoản để nhắm mục tiêu có chọn lọc để liệt kê và tải xuống các kho lưu trữ riêng tư.
Sự cố bảo mật được phát hiện vào ngày 12 tháng 4, liên quan đến một kẻ tấn công không xác định lợi dụng mã thông báo người dùng OAuth bị đánh cắp được cấp cho hai nhà tích hợp OAuth bên thứ ba, Heroku và Travis-CI, để tải xuống dữ liệu từ hàng chục tổ chức, bao gồm cả NPM.
Tuần trước, công ty thuộc sở hữu của Microsoft cho biết họ đang trong quá trình gửi một bộ thông báo cuối cùng tới các khách hàng GitHub có tích hợp ứng dụng Heroku hoặc Travis CI OAuth được ủy quyền trong tài khoản của họ.
Theo phân tích từng bước chi tiết do GitHub thực hiện, đối thủ được cho là đã sử dụng các mã thông báo ứng dụng bị đánh cắp để xác thực với API GitHub, sử dụng nó để liệt kê tất cả các tổ chức của người dùng bị ảnh hưởng.
Điều này sau đó đã thành công bằng cách chọn mục tiêu một cách có chọn lọc dựa trên các tổ chức được liệt kê, theo sau bằng cách liệt kê các kho lưu trữ riêng tư của các tài khoản người dùng có giá trị, trước khi chuyển sang sao chép một số kho lưu trữ riêng tư đó.
Công ty cũng nhắc lại rằng các mã thông báo không được lấy thông qua sự thỏa hiệp của GitHub hoặc hệ thống của nó và các mã thông báo không được lưu trữ ở “định dạng ban đầu, có thể sử dụng”, có thể bị kẻ tấn công sử dụng sai.
“Khách hàng cũng nên tiếp tục theo dõi Heroku và Travis CI để cập nhật các cuộc điều tra của riêng họ đối với các ứng dụng OAuth bị ảnh hưởng”, GitHub lưu ý.
.
