Bulut tabanlı depo barındırma hizmeti GitHub Cuma günü, geçen ay GitHub entegrasyonu OAuth belirteçlerinin çalınmasıyla ilgili ek ayrıntılar paylaştı ve saldırganın dahili NPM verilerine ve müşteri bilgilerine erişebildiğini belirtti.
Greg Ose, “Saldırgan, Heroku ve Travis CI adlı iki üçüncü taraf entegratörden kaynaklanan çalıntı OAuth kullanıcı belirteçlerini kullanarak, NPM altyapısına erişimi yükseltmeyi başardı.” söz konususaldırganı ekleyerek bir dizi dosya almayı başardı –
- 2015 yılına ait kullanıcı bilgilerinin bir arşivi ve tüm özel NPM paket bildirimleri ve paket meta verileri dahil olmak üzere 7 Nisan 2021 itibarıyla verilerden oluşan skimdb.npmjs.com’un bir veritabanı yedeği. Arşiv, yaklaşık 100.000 kullanıcı için NPM kullanıcı adlarını, parola karmalarını ve e-posta adreslerini içeriyordu.
- 10 Nisan 2022 itibariyle tüm NPM özel paketlerinin yayınlanmış sürümlerinin tüm adlarının ve sürüm numaralarının bir arşivini içeren bir dizi CSV dosyası ve
- İki kuruluştan özel paketlerin “küçük bir alt kümesi”
Sonuç olarak GitHub, etkilenen kullanıcıların şifrelerini sıfırlama adımını atıyor. Ayrıca, önümüzdeki birkaç gün içinde açıkta kalan özel paket bildirimleri, meta veriler ve özel paket adları ve sürümleriyle kullanıcıları doğrudan bilgilendirmesi bekleniyor.
GitHub tarafından ayrıntılı olarak açıklanan saldırı zinciri, saldırganın AWS erişim anahtarlarını içeren özel NPM depolarını sızdırmak için OAuth belirteçlerini kötüye kullanmasını ve ardından bunları kayıt defterinin altyapısına yetkisiz erişim elde etmek için kullanmasını içeriyordu.
Bununla birlikte, kayıt defterine yayınlanan paketlerin hiçbirinin düşman tarafından değiştirilmediğine veya mevcut paketlerin yeni sürümlerinin depoya yüklenmediğine inanılıyor.
Ek olarak şirket, OAuth token saldırısına ilişkin soruşturmanın, npm’nin GitHub günlük sistemlerine entegrasyonunun ardından dahili günlüklerde yakalanan, belirtilmemiş bir “npm kayıt defteri için düz metin kullanıcı kimlik bilgilerinin” keşfedilmesini içeren ilgisiz bir sorunu ortaya çıkardığını söyledi.
GitHub, saldırı kampanyasının keşfedilmesinden önce sorunu azalttığını ve düz metin kimlik bilgilerini içeren günlükleri temizlediğini kaydetti.
GitHub’ın 12 Nisan’da ortaya çıkardığı OAuth hırsızlığı, kimliği belirsiz bir aktörün, NPM dahil düzinelerce kuruluştan veri indirmek için iki üçüncü taraf OAuth entegratörüne, Heroku ve Travis-CI’ye verilen çalıntı OAuth kullanıcı belirteçlerinden yararlanmasıyla ilgiliydi.
Microsoft’un sahip olduğu yan kuruluş, bu ayın başlarında, kampanyayı “yüksek oranda hedeflenmiş” olarak nitelendirdi ve “saldırgan, özel depoları listelemek ve indirmek için seçici olarak hedeflenecek hesapları belirlemek için yalnızca kuruluşları listeliyordu” diye ekledi.
Heroku, o zamandan beri GitHub entegrasyonu OAuth belirteçlerinin çalınmasının, dahili bir müşteri veritabanına yetkisiz erişimi içerdiğini ve şirketin tüm kullanıcı şifrelerini sıfırlamasını istediğini kabul etti.