GitHub于4月15日透露,网络攻击者正在使用被盗的OAuth用户令牌从其私有存储库下载数据。据悉,此类攻击最早于4月12日被发现,攻击者利用两家第三方集成商Heroku和Travis-CI维护的OAuth应用(包括npm)访问并窃取了数十家组织的数据。GitHub首席安全官(CSO)MikeHanley透露,这些集成商维护的应用程序将供GitHub用户使用,包括GitHub本身。“我们认为攻击者不会通过破坏GitHub或其系统获得这些令牌,因为GitHub不会以其原始可用格式存储这些令牌,”Hanley说。“我们对攻击者的额外行为分析表明,他们可能正在挖掘以下载私有存储库内容,可以使用被盗的OAuth令牌访问这些内容,以获得可在其他基础设施上使用的秘密。根据Hanley的说法,受影响的OAuth应用程序包括:HerokuDashboard(ID:145909)HerokuDashboard(ID:628778)HerokuDashboard–Preview(ID:313468)HerokuDashboard–Classic(ID:363831)TravisCI(ID:9216)According根据描述,GitHubSecurity于4月12日发现攻击者使用泄露的AWSAPI密钥未经授权访问GitHub的npm生产基础设施。这些API密钥可能是攻击者用来窃取在下载多个私有npm存储库后获得的OAuth令牌的密钥。4月13日,在发现第三方OAuth令牌被盗后,GitHub立即采取行动,撤销了GitHub相关令牌和npm对这些受感染应用程序的访问权限。内部使用npm来保护数据。尽管攻击者能够从受感染的存储库中窃取数据,但GitHub认为npm使用与GitHub完全独立的基础设施,并且GitHub没有修改任何包,也没有访问用户出现在攻击中。帐户数据或凭据遭到泄露。此外,没有证据表明攻击者使用窃取的第三方OAuth令牌克隆了其他GitHub私有存储库。调查仍在进行中,GitHub已将相关情况通知所有受影响的用户和组织。参考来源:https://www.bleepingcomputer.com/news/security/github-attacker-breached-dozens-of-orgs-using-stolen-oauth-tokens/
