image

GitHub getroffen door inbraak op npm-productie-infrastructuur

zondag 17 april 2022, 20:53 door Redactie, 6 reacties

Een aanvaller is erin geslaagd om in te breken op de npm-productie-infrastructuur van GitHub, daarnaast zijn van tientallen organisaties private GitHub-repositories gestolen, waaronder npm, zo laat het populaire platform voor softwareontwikkelaars in een blogposting weten. De aanval was mogelijk via gestolen OAuth user tokens die van Heroku en Travis-CI waren. Dit zijn third-party OAuth integrators.

Bedrijven integreren de diensten van Heroku en Travis-CI bij het ontwikkelen van software. Zo biedt Heroku een cloudapplicatieplatform met GitHub-integratie, waarbij programmeurs code die op GitHub staat kunnen uitrollen naar apps die op Heroku draaien. Ontwikkelaars gebruiken Heroku daarbij als platform voor het uitrollen, beheren en opschalen van applicaties. Voor de communicatie tussen Heroku en GitHub wordt gebruikgemaakt van tokens. Een aanvaller die over een token beschikt kan dezelfde acties uitvoeren als de Heroku-gebruiker.

GitHub ontdekte naar eigen zeggen op 12 april dat een aanvaller via een gestolen AWS (Amazon Web Services) API-key toegang tot de npm-productie-infrastructuur van GitHub had gekregen. Npm, dat onderdeel van GitHub is, is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld.

GitHub denkt dat de aanvaller de API-key in handen kreeg door het downloaden van een verzameling private npm-repositories op GitHub. Deze repositories konden via een gestolen OAuth-token worden gedownload. Het token was buitgemaakt bij Heroku of Travis-CI. Salesforce, dat eigenaar van Heroku is, laat weten dat de aanvaller via een gestolen OAuth-token toegang tot Heroku's GitHub-account kreeg. Hoe dit kon gebeuren wordt niet vermeld.

Heroku host op GitHub een integration dashboard. De aanvaller gebruikte OAuth-tokens van dit dashboard om GitHub-accounts van klanten te achterhalen. Volgens Salesforces kon de aanvaller met de tokens die bij Heroku zijn gestolen toegang tot de GitHub-repositories van klanten krijgen. Vervolgens zou het mogelijk zijn om code in deze repositories te lezen en aan te passen.

Volgens GitHub werden met de gestolen tokens private repositories "in de npm-organisatie op GitHub.com" gedownload en is er mogelijk toegang verkregen tot de npm-packages zoals ze in de AWS S3-storage zijn opgeslagen. GitHub gaat erop dit moment vanuit dat de aanvaller geen packages heeft aangepast of dat er toegang is verkregen tot accountgegevens of inloggegevens.

Naar aanleiding van het incident heeft Salesforce alle OAuth-tokens van de Heroku Dashboard GitHub integration ingetrokken. Daardoor is het niet meer mogelijk om apps vanaf GitHub via het Heroku dashboard of Heroku automation uit te rollen. Alle getroffen klanten zouden inmiddels zijn gewaarschuwd. Het onderzoek loopt nog.

Reacties (6)
18-04-2022, 00:00 door Anoniem
Die cloud gaat ons nog eens aardig opbreken.
18-04-2022, 09:09 door Anoniem
Een “gestolen” api key, programmeurs zijn nogal eens prutsers, zetten alles online, rechten niet goed.
18-04-2022, 10:10 door Anoniem
Murphy's Law: Alles wat mis kan gaan zal ooit misgaan.
18-04-2022, 13:04 door Anoniem
npm, Inc. is a subsidiary of GitHub (a subsidiary of Microsoft), based in Oakland, California, that maintains npm, a JavaScript package manager, and provides hosting for development and version control with the usage of Git.

https://en.wikipedia.org/wiki/Npm,_Inc.
19-04-2022, 04:43 door beatnix
och der word nog eens een keer wat naar buiten gebracht.

er is nog VEEL meer gecompromitteerd en nog VEEL ernstiger ook, op tal van plaatsen bij staatsveiligheidsorganisaties ook bekend, zoals dat gehele SSL (ongeacht versie, en ook TLS ongeacht versie) bijvoorbeeld etc. etc. etc.

bijvoorbeeld Tor project, ook gecompromitteerd. BTC/bitcoin, ook zoiets.
19-04-2022, 09:30 door waterlelie - Bijgewerkt: 19-04-2022, 10:13
Ik heb geen enkel idee wat al die termen betekenen, maar ik kan er wel uit af te leiden dat het gebrek aan veiligheid en het gebrek aan goede programmeurs hier de grootste oorzaak voor is. Uiteraard speelt het niveau van de leiding hier ook een bepalende rol.

Denk maar eens aan de manier waarop de hedendaagse politiek leiding geeft bijvoorbeeld Iemand die jarenlang diplomaat was, die nu minister van financiën is, maar het begrip debet en credit nauwelijks van elkaar kan onderscheiden, en tegelijkertijd iemand die jarenlang als financieel deskundige werkzaam is geweest en minister van Financiën is geweest nu als minister van Buitenlandse Zaken werkzaam is. Dat moet toch fout gaan..

We noemen dat nepotisme, en dat is in elke vorm een existentieel gevaar.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.