Die Cloud-basierte Code-Hosting-Plattform GitHub bezeichnete die jüngste Angriffskampagne, bei der OAuth-Zugangs-Token für Heroku und Travis-CI missbraucht wurden, als „sehr gezielt“.
„Dieses Verhaltensmuster lässt vermuten, dass der Angreifer nur Organisationen auflistete, um Konten zu identifizieren, die er gezielt zum Auflisten und Herunterladen privater Repositories nutzen konnte“, sagte Mike Hanley von GitHub in einem aktualisierten Beitrag.
Der Sicherheitsvorfall, der am 12. April entdeckt wurde, betraf einen nicht identifizierten Angreifer, der gestohlene OAuth-Benutzertoken, die an zwei Drittanbieter-OAuth-Integratoren, Heroku und Travis-CI, ausgegeben wurden, nutzte, um Daten von Dutzenden von Organisationen, einschließlich NPM, herunterzuladen.
Das Unternehmen, das sich im Besitz von Microsoft befindet, teilte letzte Woche mit, dass es dabei ist, eine letzte Reihe von Benachrichtigungen an GitHub-Kunden zu senden, die entweder die Heroku- oder die Travis-CI-OAuth-App-Integrationen in ihren Konten autorisiert haben.
Laut einer detaillierten Schritt-für-Schritt-Analyse von GitHub soll der Angreifer die gestohlenen App-Tokens verwendet haben, um sich bei der GitHub-API zu authentifizieren und damit alle Organisationen der betroffenen Nutzer aufzulisten.
Anschließend wurden die Ziele anhand der aufgelisteten Organisationen ausgewählt und die privaten Repositories der wertvollen Nutzerkonten aufgelistet, bevor sie schließlich einige dieser privaten Repositories klonten.
Das Unternehmen bekräftigte außerdem, dass die Token nicht durch eine Kompromittierung von GitHub oder seinen Systemen erlangt wurden und dass die Token nicht in ihrem „ursprünglichen, verwendbaren Format“ gespeichert sind, das von einem Angreifer missbraucht werden könnte.
„Kunden sollten auch weiterhin Heroku und Travis CI für Updates zu ihren eigenen Untersuchungen der betroffenen OAuth-Anwendungen beobachten“, so GitHub.