GitHub：有人用偷來的 OAuth 令牌入侵了幾十個組織，已采取保護(hù)措施

IT之家 4 月 16 日消息，GitHub 官方今日發(fā)公告，GitHub Security 在 4 月 12 日發(fā)現(xiàn)有攻擊者利用被盜的 OAuth 用戶令牌（原屬于 Heroku 和 Travis-CI 兩家第三方集成商），從私人倉庫下載數(shù)據(jù)。

據(jù)稱，自 2022 年 4 月 12 日首次發(fā)現(xiàn)這一活動以來，威脅者已經(jīng)從幾十個使用上述集成商維護(hù) OAuth 應(yīng)用程序（包括 npm）的受害組織中訪問并竊取數(shù)據(jù)。

據(jù)稱，很多 GitHub 用戶會使用這些集成商維護(hù)的應(yīng)用程序，包括 GitHub 本身。

GitHub 不相信攻擊者是通過 GitHub 或其系統(tǒng)的入侵獲得這些令牌的，因?yàn)?GitHub 并沒有以原始的可用格式保存令牌。經(jīng)過調(diào)查，參與者可能正在偷偷下載一些私庫內(nèi)容，以獲取可以用于其他基礎(chǔ)設(shè)施的秘密。

截至 2022 年 4 月 15 日的已知受影響的 OAuth 應(yīng)用程序：

• Heroku Dashboard （ID： 145909）

• Heroku Dashboard （ID： 628778）

• Heroku Dashboard – Preview （ID： 313468）

• Heroku Dashboard – Classic （ID： 363831）

• Travis  CI （ID： 9216）

4 月 12 日，GitHub Security 發(fā)現(xiàn) npm 生產(chǎn)基礎(chǔ)設(shè)施出現(xiàn)未經(jīng)授權(quán)的訪問，當(dāng)時攻擊者使用的是一個受損的 AWS API 密鑰。

根據(jù)后續(xù)分析，GitHub 認(rèn)為該 API 密鑰是由攻擊者在下載一組私有 npm 庫時獲得的，攻擊者使用了從上述兩個受影響的第三方 OAuth 應(yīng)用程序之一竊取的 OAuth 令牌。

IT之家了解到，在 4 月 13 日晚發(fā)現(xiàn)第三方 OAuth 令牌被盜后 GitHub 便立即采取了行動，撤銷了與 GitHub 和 npm 內(nèi)部使用這些被盜應(yīng)用程序相關(guān)的令牌以保護(hù)用戶數(shù)據(jù)。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。