Layanan hosting repositori berbasis cloud GitHub pada hari Jumat membagikan detail tambahan tentang pencurian token OAuth integrasi GitHub bulan lalu, mencatat bahwa penyerang dapat mengakses data NPM internal dan informasi pelanggannya.
“Menggunakan token pengguna OAuth curian yang berasal dari dua integrator pihak ketiga, Heroku dan Travis CI, penyerang dapat meningkatkan akses ke infrastruktur NPM,” kata Greg Ose, menambahkan penyerang kemudian berhasil mendapatkan sejumlah file –
- Cadangan basis data skimdb.npmjs.com terdiri dari data per 7 April 2021, termasuk arsip informasi pengguna dari 2015 dan semua manifes paket NPM pribadi dan metadata paket. Arsip tersebut berisi nama pengguna NPM, hash kata sandi, dan alamat email untuk sekitar 100.000 pengguna
- Satu set file CSV yang mencakup arsip semua nama dan nomor versi dari versi yang diterbitkan dari semua paket pribadi NPM pada 10 April 2022, dan
- Sebuah “subset kecil” dari paket pribadi dari dua organisasi
Akibatnya, GitHub mengambil langkah untuk menyetel ulang kata sandi pengguna yang terkena dampak. Itu juga diharapkan untuk secara langsung memberi tahu pengguna dengan manifes paket pribadi yang terbuka, metadata, dan nama serta versi paket pribadi selama beberapa hari ke depan.
Rantai serangan, seperti yang dirinci oleh GitHub, melibatkan penyerang yang menyalahgunakan token OAuth untuk mengekstrak repositori NPM pribadi yang berisi kunci akses AWS, dan kemudian memanfaatkannya untuk mendapatkan akses tidak sah ke infrastruktur registri.
Yang mengatakan, tidak ada paket yang diterbitkan ke registri yang diyakini telah dimodifikasi oleh musuh, juga tidak ada versi baru dari paket yang ada yang diunggah ke repositori.
Selain itu, perusahaan mengatakan penyelidikan terhadap serangan token OAuth mengungkapkan masalah yang tidak terkait yang melibatkan penemuan “jumlah kredensial pengguna plaintext yang tidak ditentukan untuk registri npm yang ditangkap dalam log internal setelah integrasi npm ke dalam sistem logging GitHub.”
GitHub mencatat bahwa itu mengurangi masalah sebelum ditemukannya kampanye serangan dan telah membersihkan log yang berisi kredensial plaintext.
Pencurian OAuth, yang ditemukan GitHub pada 12 April, menyangkut aktor tak dikenal yang memanfaatkan token pengguna OAuth curian yang dikeluarkan untuk dua integrator OAuth pihak ketiga, Heroku dan Travis-CI, untuk mengunduh data dari lusinan organisasi, termasuk NPM.
Anak perusahaan milik Microsoft, awal bulan ini, menyebut kampanye itu “sangat bertarget”, menambahkan “penyerang hanya mendaftarkan organisasi untuk mengidentifikasi akun yang ditargetkan secara selektif untuk mendaftar dan mengunduh repositori pribadi.”
Heroku sejak itu mengakui bahwa pencurian token OAuth integrasi GitHub selanjutnya melibatkan akses tidak sah ke database pelanggan internal, yang mendorong perusahaan untuk mengatur ulang semua kata sandi pengguna.
