The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Атака на GitHub, приведшая к утечке приватных репозиториев и доступу к инфраструктуре NPM

16.04.2022 10:47

GitHub предупредил пользователей об атаке, нацеленной на загрузку данных из приватных репозиториев с использованием скомпрометированных токенов OAuth, сгенерированных для сервисов Heroku и Travis-CI. Сообщается, что в ходе атаки произошла утечка данных из приватных репозиториев некоторых организаций, открывших доступ к репозиториям для PaaS-платформы Heroku и системы непрерывной интеграции Travis-CI. В числе пострадавших оказалась компания GitHub и проект NPM.

Атакующие смогли извлечь из приватных репозиториев GitHub ключ для доступа к API Amazon Web Services, используемый в инфраструктуре проекта NPM. Полученный ключ позволял получить доступ к NPM-пакетам, хранящимся в сервисе AWS S3. GitHub считает, что несмотря на полученный доступ к репозиториям NPM, дело не дошло до модификации пакетов или получения данных, связанных с учётными записями пользователей. Также отмечается, что так как инфраструктуры GitHub.com и NPM разделены, атакующие не успели загрузить содержимое внутренних репозиториев GitHub, не связанных с NPM, до того как проблемные токены были заблокированы.

Атака была зафиксирована 12 апреля, после того как атакующие попытались использовать ключ к API AWS. Позднее зафиксированы похожие атаки и на некоторые другие организации, в которых также использовались токены приложений Heroku и Travis-CI. Пострадавшие организации не называются, но всем пользователям, которых затронула атака, отправлены соответствующие индивидуальные уведомления. Пользователям приложений Heroku и Travis-CI рекомендовано изучить логи безопасности и аудита для выявления аномалий и нетипичной активности.

Каким образом токены попали в руки атакующих пока не ясно, но GitHub считает, что они получены не в результате компрометации инфраструктуры компании, так как токены для авторизации доступа с внешних систем не хранятся на стороне GitHub в исходном формате, пригодном для использования. Анализ поведения атакующего показал, что вероятно основной целью загрузки содержимого приватных репозиториев является анализ наличия в них конфиденциальных данных, таких как ключи доступа, которые могли бы использоваться для продолжения атаки на другие элементы инфраструктуры.

  1. Главная ссылка к новости (https://github.blog/2022-04-15...)
  2. OpenNews: Уязвимость в GitLab, позволяющая захватить аккаунты, авторизированные через OAuth, LDAP и SAML
  3. OpenNews: В сеть попали исходные коды GitHub и GitHub Enterprise
  4. OpenNews: GitHub устранил уязвимость, приводившую к подмене сеанса пользователя
  5. OpenNews: GitHub предупредил об атаке, использующей перехваченные с других сайтов пароли
  6. OpenNews: В GitHub устранена уязвимость, допускающая внедрение кода в любой репозиторий
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/57025-github
Ключевые слова: github, oauth
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (47) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.11, Аноним (11), 12:26, 16/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +13 +/
    Есть божественный https://sourcehut.org/

    Зачем эта галимая проприетарщина в лице github, которая завтра тебя забанит, потому что ты не белый?

     
     
  • 2.14, Аноним (14), 12:40, 16/04/2022 [^] [^^] [^^^] [ответить]  
  • +27 +/
    Вот как раз, потому что белый, и забанят. Сейчас такая повесточка.
     
     
  • 3.21, Аноним (21), 13:05, 16/04/2022 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Если белый, потребуется предоставить справку, что трансгендер.
     
     
  • 4.64, Dnina (ok), 08:51, 17/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Трансбелый
     
  • 2.24, пох. (?), 13:16, 16/04/2022 [^] [^^] [^^^] [ответить]  
  • –14 +/
    > Есть божественный https://sourcehut.org/

    https://sr.ht/projects
    - ну если ты ЭТО собираешься "разрабатывать", то можно считать что есть.


    > Зачем эта галимая проприетарщина в лице github, которая завтра тебя забанит, потому что ты не
    > белый?

    затем, небелый, что разработка человечеством ведется почему-то там где для нее есть инструмент.

    А в твоих скрепах человечество не нуждается, так что если тебя и забанят (что, увы, вряд ли) - ничего не потеряет.


      

     
     
  • 3.33, Vacu923ek (ok), 15:14, 16/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это _платформа_, какая разница, какие там проекты?? Заливай свой и пили! Тем более, что бесплатно.
     
     
  • 4.35, пох. (?), 15:45, 16/04/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вот в непонимании этого момента и все твои проблемы.

    Свой пилить я бы (и ты бы) могли на локалхосте. "тем более что бесплатно" лично мне нафиг не уперлось.


     
  • 4.44, Смузихлёб (?), 17:04, 16/04/2022 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Свои проекты соло-программисты хранят локально вообще без всяких сторонних костылей типа git'а, просто распихав файлы по директориям. Это быстрее, прозрачнее, понятнее. Git это сугубо для командной разработки, одиночкам оно нафиг не надо, лишь только усложняет и забирает время.
     
     
  • 5.68, Аноним (68), 15:08, 17/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот это ты зря. То есть я верю что солообезьянки так и делают, поскольку не-не-слышали и на работе их уже кнутователь замучал этим гитом (который они дальше pull/commit/push/ой сломалось тоже никогда не осиливали). Но адекватные люди в курсе что вообще-то бывают другие vcs.

    Ага, им при этом необязательно быть distributed. Для командной разработки, кстати, тоже.

    dvcs архиполезны только в одном случае - когда ты пытаешься сохранить свои правки чужого большого проекта, которые никогда не будут вмержены. Но это опять не гит.

     
  • 5.70, Аноним (-), 17:45, 17/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так и скажи что не научился vcs пользоваться Даже для своего проекта - git позв... большой текст свёрнут, показать
     
     
  • 6.81, Аноним (81), 11:50, 18/04/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Что сказать-то хотел? Непонятно написано
     
  • 6.82, InuYasha (??), 12:15, 18/04/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Только
    а) гит надо изучать и понимать, а ещё в нём миллион неочевидных команд со стрёмными названиями
    б) свои проекты ты и так можешь каждый час снапшотить (хоть в zip-архивы) и откатываться куда угодно
     
     
  • 7.83, ДаНуНафиг (?), 12:37, 18/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Тут я вижу откат сразу в 2000-е. Файлик descript.ion надо не забыть еще приложить с псевдографикой внутри, чтобы уж совсем по-старинке было.
     
  • 5.75, Клыкастый (ok), 18:59, 17/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Свои проекты соло-программисты хранят локально вообще без всяких сторонних костылей типа git'а, просто распихав файлы по директориям. Это быстрее, прозрачнее, понятнее.

    Хорошее питание, надёжная изоляция от общества, грамотный психиатр и время. Впрочем, раз эти "программисты" - "соло", о чём-то они догадываются и изолируются, как могут.

     
  • 3.69, Аноним (-), 17:38, 17/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > - ну если ты ЭТО собираешься "разрабатывать", то можно считать что есть.

    sr.ht сейчас довольно популярный и там зеркала многих проектов есть. Еще народу нравится notabug и codeberg - эти на открытом движке с мордой как у гитхаба. Там тоже зеркала изрядного числа проектов попадались.

    Ну, понимаешь, если моя цель перекинуться кодом с вон теми - мне очень не в кассу что мерзкософт вместо того чтобы обеспечить это начнет вонять что у меня браузер не тот или какая там еще фигня, так что введите номер телефона и отсканируйте справку что не верблюд. А вон те - обеспечивают просто работу, над просто проектами. Без отчетов мелкософту на тему почему я сменил браузер.

     
  • 2.26, Аноним (26), 13:19, 16/04/2022 [^] [^^] [^^^] [ответить]  
  • –8 +/
    Давай больше треша и угара https://gitflic.ru/ вот где максимально пробитое дно.  
     
     
  • 3.31, пох. (?), 14:55, 16/04/2022 [^] [^^] [^^^] [ответить]  
  • –7 +/
    Шо не так? Ну кроме https://gitflic.ru/public/project конечно.

    Скрепно, православно, надежно, никому конечно же нахрен не вперлось.


    Чего они не назвали его gitfreak? Постеснялись?


     
  • 3.39, Аноним (39), 16:50, 16/04/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сервис сервисит, исходники открыты, написан на java. Один фиг это лучше, чем github :)
     
  • 2.27, h4Xx0r (?), 13:32, 16/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    выложу исходники за 100 BTC

    ваш Anonymous

     
     
  • 3.72, Аноним (-), 17:49, 17/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Издеваешься? Вебмакаки с одеска за десятку накодят вдвое круче.
     
  • 2.32, Vacu923ek (ok), 15:11, 16/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    +сто сердечек за то, что без у6людского JS и.... ЕСТЬ ПОДДЕРЖКА MERCURIAL!! Wow!
     
  • 2.40, Смузихлёб (?), 16:51, 16/04/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Есть божественный

    https://rocketgit.com

     
     
  • 3.50, Аноним (50), 17:42, 16/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда уж radicle.xyz
     
  • 2.42, Смузихлёб (?), 16:56, 16/04/2022 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > завтра тебя забанит

    Меня забанили за букву Z на аватаре, причем эта стилизованная буква у меня была загружена в 2014 году, задолго до всем известных событий.

     
     
  • 3.46, Аноним (46), 17:10, 16/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Там даже Galaxy Z лишился буквы...
     
  • 2.53, КО (?), 18:52, 16/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Регистрация нужна для поиска.
    Галиматья какая-то.
     
     
  • 3.54, КО (?), 18:52, 16/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А, нашел.
    Вбил uBlock нет результатов - не нужон
     
  • 2.61, Аноним (61), 03:45, 17/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Есть божественный https://sourcehut.org/

    Который однажды станет платным. Спасибо, не надо.

    > From the beta onwards, unpaid accounts will be limited to read-only access to their own projects.

     
     
  • 3.76, Аноним (-), 19:09, 17/04/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Который однажды станет платным. Спасибо, не надо.

    С дуба упал? Это откуда взято? На https://sourcehut.org/ этого нет. Sourcehut содержится фаном опенсорса, GPLщиком, нелюбителем всяких дискордов и васапов - этот врядли в такое скатится. Во всяком случае, выбирая между ним и микрософтом с атласианом...

     

  • 1.16, Аноним (16), 12:45, 16/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Заходишь такой на гитхаб, а он прогружается частями, тормозит...  зажабаскриптован?
     
     
  • 2.56, Аноним (11), 19:35, 16/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это фича
     
  • 2.62, Аноним (39), 04:05, 17/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    а CONNECT 19200/V34 не говорит?
     

  • 1.17, Аноним (17), 12:46, 16/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > и доступу к инфраструктуре NPM

    шо, опять?

     
  • 1.22, Аноним (22), 13:06, 16/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Это было монументально Ничтожно )
     
  • 1.23, пох. (?), 13:13, 16/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Но как же так? Ведь oauth безопастен!

     
     
  • 2.25, Аноним (26), 13:18, 16/04/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не на расте же. Вот и весь ответ.
     
     
  • 3.30, Аноним (46), 13:52, 16/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Каким образом токены попали в руки атакующих пока не ясно

    Раст умеет в детектива?

     
     
  • 4.38, Аноним (38), 16:40, 16/04/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    У них он должен ФСЁ! Даже на балалайке играть и порванные струны перетягивать.
     
     
  • 5.45, Аноним (46), 17:08, 16/04/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > на балалайке играть

    За балалайки забанили местную музыкальную группу в Швеции.

     

  • 1.29, Аноним (46), 13:50, 16/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > GitHub ... утечка приватных репозиториев

    В общем, ничего нового и удивительного.

     
  • 1.34, name (??), 15:33, 16/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вся суть использования токенов. Енджой.
     
     
  • 2.37, Аноним (37), 16:36, 16/04/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ИМХО, это не так фатально как утечка паролей. Токен проще и быстрее отозвать без последствий. С паролем сложнее - потребуется либо пароль менять, либо аккаунт лочить/восстанавливать.

    На практике возни с токенами больше (с точки зрения софта), но небольшие профиты всё же есть.

     
  • 2.55, КО (?), 18:58, 16/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Что мешает подключить TOTP, привязанный к устройству на который закидывается определенный идентификатор?
    Без телефона.
     

  • 1.63, Аноним (63), 07:54, 17/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Зачем это здесь? И второе - сабжем еще кто-то пользуется?
     
     
  • 2.65, Аноним (46), 09:53, 17/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Большой вопрос... Зачем вообще кто-то _приватные_ репы хранит на _внешнем_ проприетарном серваке.
     

  • 1.78, Z (??), 20:26, 17/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > GitHub

    Одиночкам (нормальные программы пишутся как раз одиночками) гит не нужен, new folder, new folder1, new folder > old наше всё. А гит это смузиподелка, усложнение ради усложнения, чтобы содрать побольше денег с заказчиков.

     
     
  • 2.84, ivanpetrov (ok), 11:11, 24/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так Git или GitHub?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру