Comments 3
Интересный кейс с точки зрения вектора атаки. Компрометация PAT через утечку GitHub — это не баг в коде, это провал в управлении секретами на уровне процессов. Примечательно, что атака длилась меньше полутора часов, но успела затронуть пакеты с суммарным числом загрузок в десятки миллионов.
Вопрос к автору: в audit log GitHub фигурировал только один скомпрометированный PAT, или были признаки нескольких точек входа? Судя по тому, что удаление тегов не помогало — создаётся ощущение, что у атакующего было несколько активных токенов одновременно.
В аудите один токен был замечен - его хэш фигурировал и теги создавались от одного юзера.
Первым делом я решил удалить теги, т.к. обычно злоумышленники вредят и уходят.
И в процессе удаления тегов заметил, что он "здесь и сейчас" сидит и вредит.
Таким образом, вместо удаления тегов, я быстро пошёл отбирать доступ к внесению изменений в репозиторий у всех членов команды, и лишь после этого стал удалять теги.
В логи аудита сходил в последнюю очередь, когда проблема была устранена и осталось выяснить кто это сделал.
Malicious attack on Laravel-Lang