Cloud-baserede hosting service GitHub fredag delte yderligere detaljer om tyveriet af sin integration OAuth tokens i sidste måned, bemærker, at angriberen var i stand til at få adgang til interne Node Package Manager (NPM)-data og dens kundeoplysninger.
“Ved hjælp af stjålne OAuth-brugertokens, der stammer fra to tredjepartsintegratorer, Heroku og Travis CI, var angriberen i stand til at eskalere adgangen til NPM-infrastruktur,” sagde Greg Ose og tilføjede, at angriberen derefter formåede at få et antal filer.
- En database backup af skimdb.npmjs.com bestående af data pr. 7. april 2021, herunder et arkiv med brugeroplysninger fra 2015 og alle private NPM-pakkemanifester og pakketadata. Arkivet indeholdt NPM-brugernavne, adgangskodehashes og e-mail-adresser til omkring 100.000 brugere.
- Et sæt CSV-filer, der omfatter et arkiv med alle navne og versionsnumre på offentliggjorte versioner af alle private NPM-pakker pr. 10. april 2022, og
- En “lille delmængde” af private pakker fra to organisationer.
Som en konsekvens, GitHub tager skridtet til at nulstille adgangskoderne til berørte brugere. Det forventes også at underrette brugere direkte med eksponerede private pakkemanifester, metadata og private pakkenavne og versioner i løbet af de næste par dage.
Angrebskæden, som beskrevet af GitHub, involverede angriberen, der misbrugte OAuth-tokens til at eksfiltrere private NPM-arkiver, der indeholder AWS-adgangsnøgler, og efterfølgende udnytte dem til at få uautoriseret adgang til registreringsdatabasens infrastruktur.
Når det er sagt, menes ingen af de pakker, der er offentliggjort i registreringsdatabasen, at være blevet ændret af modstanderen, og der blev heller ikke uploadet nye versioner af eksisterende pakker til lageret.
Derudover, virksomheden sagde, at undersøgelsen af OAuth-tokenangrebet afslørede et ikke-relateret problem, der involverede opdagelsen af et uspecificeret “antal brugeroplysninger i klartekst til npm-registreringsdatabasen, der blev fanget i interne logfiler efter integrationen af NPM i GitHub-logningssystemer.”
GitHub bemærkede, at det afbødede problemet forud for opdagelsen af angrebskampagnen, og at det havde renset logfilerne, der indeholder legitimationsoplysningerne i klartekst.
OAuth-tyveriet, som GitHub afslørede den 12. april, vedrørte en uidentificeret hacker, der udnyttede stjålne OAuth-brugertokens udstedt til to tredjeparts OAuth-integratorer, Heroku og Travis CI, til at downloade data fra snesevis af organisationer, herunder NPM.
Det Microsoft-ejede datterselskab, tidligere på måneden, kaldte kampagnen “meget målrettet”, og tilføjede “angriberen var kun notering organisationer for at identificere konti til selektivt at målrette mod notering og download af private arkiver.”
Heroku har siden erkendt, at tyveriet af GitHub-integration OAuth-tokens yderligere involverede uautoriseret adgang til en intern kundedatabase, hvilket fik virksomheden til at nulstille alle brugeradgangskoder.
Kilde. TheHackerNews
Foto: Pexels