Bilinmeyen bir tehdit aktörü, Heroku ve Travic-CI’ye verilen çalıntı OAuth kullanıcı belirteçlerinin yardımıyla özel kod depolarından veri topluyor.
GitHub tarafından bildirildiği üzere, geçtiğimiz Salı günü tehdit aktörü “düzinelerce kurbandan” veri çalmayı başardı.
GitHub Güvenlik Müdürü Mike Hanley, “Bu entegratörler tarafından sürdürülen uygulamalar GitHub’ın kendisi de dahil olmak üzere GitHub kullanıcıları tarafından kullanıldı” dedi.
Kimlik bilgileri çalınmadı
Hanley, saldırganın bu belirteçleri, çalınan belirteçleri orijinal, kullanılabilir biçiminde saklamayan GitHub’daki bir ihlal sonucunda elde etmediğini açıklamaya devam etti.
“Tehdit aktörünün diğer davranışlarına ilişkin analizimiz, aktörlerin, çalınan OAuth belirtecinin erişime sahip olduğu indirilen özel depo içeriğini, diğer altyapıya dönmek için kullanılabilecek sırlar için madencilik yapıyor olabileceğini gösteriyor” diye ekledi.
Hanley, etkilenen OAuth uygulamalarının Heroku Dashboard (ID: 145909 ve ID: 628778), Heroku Dashboard – Preview (ID: 313468), Heroku Dashboard – Classic (ID: 363831) ve Travis CI (ID: 9216) içerdiğini söyledi.
Saldırgan, GitHub’ın npm üretim altyapısına erişmek için güvenliği ihlal edilmiş bir AWS API anahtarı kullanmaya çalıştıklarında 12 Nisan’da tespit edildi. Saldırganın, birden çok özel npm deposunu indirirken API anahtarını bulduğu tahmin ediliyor.
“13 Nisan akşamı GitHub veya npm tarafından depolanmayan üçüncü taraf OAuth belirteçlerinin daha geniş kapsamlı hırsızlığını keşfettikten sonra, GitHub ile ilişkili belirteçleri ve npm’nin bu güvenliği ihlal edilmiş uygulamaları dahili kullanımını iptal ederek GitHub ve npm’yi korumak için hemen harekete geçtik.” Hanley daha fazla açıkladı.
Saldırının arkasında kim varsa, etkilenen depolardan veri çalmayı başardı, ancak büyük olasılıkla paketleri değiştiremedi, kimlik verilerini veya hesap şifrelerini alamadı.
Hanley, “npm, GitHub.com’dan tamamen ayrı bir altyapı kullanıyor; GitHub bu orijinal saldırıdan etkilenmedi” dedi. “Soruşturma devam etse de, GitHub’a ait diğer özel depoların saldırgan tarafından çalıntı üçüncü taraf OAuth belirteçleri kullanılarak klonlandığına dair hiçbir kanıt bulamadık.”
Aracılığıyla BleeBilgisayar
