GitHub предупредил пользователей об атаке, нацеленной на загрузку данных из приватных репозиториев с использованием скомпрометированных токенов OAuth, сгенерированных для сервисов Heroku и Travis-CI. Сообщается, что в ходе атаки произошла утечка данных из приватных репозиториев некоторых организаций, открывших доступ к репозиториям для PaaS-платформы Heroku и системы непрерывной интеграции Travis-CI. В числе пострадавших оказалась компания GitHub и проект NPM.
Атакующие смогли извлечь из приватных репозиториев GitHub ключ для доступа к API Amazon Web Services, используемый в инфраструктуре проекта NPM. Полученный ключ позволял получить доступ к NPM-пакетам, хранящимся в сервисе AWS S3. GitHub считает, что несмотря на полученный доступ к репозиториям NPM, дело не дошло до модификации пакетов или получения данных, связанных с учётными записями пользователей. Также отмечается, что так как инфраструктуры GitHub.com и NPM разделены, атакующие не успели загрузить содержимое внутренних репозиториев GitHub, не связанных с NPM, до того как проблемные токены были заблокированы.
Атака была зафиксирована 12 апреля, после того как атакующие попытались использовать ключ к API AWS. Позднее зафиксированы похожие атаки и на некоторые другие организации, в которых также использовались токены приложений Heroku и Travis-CI. Пострадавшие организации не называются, но всем пользователям, которых затронула атака, отправлены соответствующие индивидуальные уведомления. Пользователям приложений Heroku и Travis-CI рекомендовано изучить логи безопасности и аудита для выявления аномалий и нетипичной активности.
Каким образом токены попали в руки атакующих пока не ясно, но GitHub считает, что они получены не в результате компрометации инфраструктуры компании, так как токены для авторизации доступа с внешних систем не хранятся на стороне GitHub в исходном формате, пригодном для использования. Анализ поведения атакующего показал, что вероятно основной целью загрузки содержимого приватных репозиториев является анализ наличия в них конфиденциальных данных, таких как ключи доступа, которые могли бы использоваться для продолжения атаки на другие элементы инфраструктуры.