Der Cloud-basierte Repository-Hosting-Dienst GitHub gab am Freitag bekannt, dass er Beweise dafür entdeckt hat, dass ein unbenannter Gegner gestohlene OAuth-Benutzer-Token nutzt, um unbefugt private Daten von mehreren Organisationen herunterzuladen.
„Ein Angreifer missbrauchte gestohlene OAuth-Benutzertoken, die an zwei OAuth-Integratoren von Drittanbietern, Heroku und Travis-CI, ausgegeben wurden, um Daten von Dutzenden von Organisationen, einschließlich NPM, herunterzuladen“, gab Mike Hanley von GitHub in einem Bericht bekannt.
OAuth-Zugriffstoken werden häufig von Apps und Diensten verwendet, um den Zugriff auf bestimmte Teile der Daten eines Benutzers zu autorisieren und miteinander zu kommunizieren, ohne die tatsächlichen Anmeldeinformationen freigeben zu müssen. Dies ist eine der am häufigsten verwendeten Methoden, um die Autorisierung von einem Dienst für einmaliges Anmelden (SSO) an eine andere Anwendung weiterzugeben.
Ab dem 15. April 2022 lautet die Liste der betroffenen OAuth-Anwendungen wie folgt:
- Heroku-Dashboard (ID: 145909)
- Heroku-Dashboard (ID: 628778)
- Heroku Dashboard – Vorschau (ID: 313468)
- Heroku Dashboard – Classic (ID: 363831) und
- Travis CI (ID: 9216)
Die OAuth-Token sollen nicht durch eine Verletzung von GitHub oder seinen Systemen erhalten worden sein, sagte das Unternehmen, da es die Token nicht in ihren ursprünglichen, verwendbaren Formaten speichert.
Darüber hinaus warnte GitHub, dass der Bedrohungsakteur möglicherweise die heruntergeladenen privaten Repository-Inhalte von Opfern analysiert, die diese OAuth-Apps von Drittanbietern verwenden, um zusätzliche Geheimnisse zu sammeln, die dann genutzt werden könnten, um auf andere Teile ihrer Infrastruktur umzuschwenken.
Die Microsoft-eigene Plattform stellte fest, dass sie am 12. April erste Beweise für die Angriffskampagne gefunden hatte, als sie mit einem kompromittierten AWS-API-Schlüssel auf unbefugten Zugriff auf ihre NPM-Produktionsumgebung stieß.
Es wird angenommen, dass dieser AWS-API-Schlüssel durch das Herunterladen einer Reihe nicht näher bezeichneter privater NPM-Repositories unter Verwendung des gestohlenen OAuth-Tokens von einer der beiden betroffenen OAuth-Anwendungen erlangt wurde. GitHub sagte, es habe seitdem die mit den betroffenen Apps verbundenen Zugriffstoken widerrufen.
„Zum jetzigen Zeitpunkt gehen wir davon aus, dass der Angreifer keine Pakete geändert oder Zugriff auf Benutzerkontodaten oder Anmeldeinformationen erhalten hat“, sagte das Unternehmen und fügte hinzu, es untersuche noch, um festzustellen, ob der Angreifer private Pakete angesehen oder heruntergeladen habe.
GitHub sagte auch, dass es derzeit daran arbeite, alle bekanntermaßen betroffenen Benutzer und Organisationen zu identifizieren und zu benachrichtigen, die von diesem Vorfall in den nächsten 72 Stunden betroffen sein könnten.