Het cloudgebaseerde codehostingplatform GitHub beschreef de recente aanvalscampagne waarbij misbruik werd gemaakt van OAuth-toegangstokens die zijn uitgegeven aan Heroku en Travis-CI als “zeer gericht” van aard.
“Dit gedragspatroon suggereert dat de aanvaller alleen organisaties op de lijst zette om accounts te identificeren om selectief te targeten voor het weergeven en downloaden van privérepositories”, zegt Mike Hanley van GitHub. zei in een bijgewerkt bericht.
Het beveiligingsincident, dat op 12 april werd ontdekt, had betrekking op een niet-geïdentificeerde aanvaller die gebruikmaakte van gestolen OAuth-gebruikerstokens die waren uitgegeven aan twee externe OAuth-integrators, Heroku en Travis-CI, om gegevens te downloaden van tientallen organisaties, waaronder NPM.
Het bedrijf dat eigendom is van Microsoft zei vorige week dat het bezig is met het verzenden van een laatste reeks meldingen naar GitHub-klanten die de Heroku- of Travis CI OAuth-app-integraties hadden geautoriseerd in hun accounts.
Volgens een gedetailleerde stapsgewijze analyse uitgevoerd door GitHub, zou de tegenstander de gestolen app-tokens hebben gebruikt om zich te authenticeren bij de GitHub API, en deze te gebruiken om alle organisaties van getroffen gebruikers.
Dit werd vervolgens bereikt door selectief doelen te kiezen op basis van de vermelde organisaties, dit op te volgen door de privérepositories van waardevolle gebruikersaccounts op te sommen, alvorens uiteindelijk enkele van die private repositories te klonen.
Het bedrijf herhaalde ook dat de tokens niet zijn verkregen via een compromis van GitHub of zijn systemen, en dat de tokens niet zijn opgeslagen in hun “oorspronkelijke, bruikbare formaten”, die door een aanvaller kunnen worden misbruikt.
“Klanten moeten ook blijven monitoren Heroku en Travis CI voor updates over hun eigen onderzoek naar de getroffen OAuth-applicaties”, merkte GitHub op.
