GitHub上周披露了一起事件的详细信息,其中黑客使用窃取的OAuth令牌从私人存储库下载数据。GitHub首席安全官MikeHanley表示:“我们认为攻击者不会通过破坏GitHub或其系统来获取这些令牌,因为GitHub并未以其原始可用格式存储这些令牌。”OAuth(OpenAuthorization)是一种开放标准的授权框架协议,主要用于互联网上基于token的授权功能。它使最终用户帐户信息能够被Facebook和Google等第三方服务使用。Oauth不共享凭据,但使用授权令牌进行身份验证,并充当中介来批准一个应用程序与另一个应用程序之间的交互。攻击者窃取或使用OAuth令牌进行攻击的安全事件并不少见。微软在2021年12月暴露了一个Oauth漏洞,各种应用程序(Portfolios、O365SecureScore、MicrosoftTrustService)之间容易出现身份验证漏洞,攻击者可以借此接管Azure账户。要利用此漏洞,攻击者首先会在OAuth提供商的框架中注册他们的恶意应用程序,并将其URL重定向到钓鱼站点。然后,攻击者向他们的目标发送带有OAuth授权URL的网络钓鱼电子邮件。攻击者行为分析GitHubAnalytics表示,攻击者使用分配给Heroku和TravisCI帐户的窃取OAuth令牌对GitHubAPI进行了身份验证。它补充说,大多数受影响的人都在他们的GitHub帐户中授权了Heroku或TravisCI的OAuth应用程序。网络攻击是有选择性的,攻击者克隆感兴趣的私有存储库。“这种行为模式表明攻击者只针对特定组织并有选择地下载私人存储库,”汉利说。“GitHub认为这些攻击具有很强的针对性。”或者将HerokuOAuth应用程序集成到GitHub帐户中以向客户发送最终通知。GitHub于4月12日开始调查被盗令牌,当时GitHubSecurity首次发现未经授权使用被盗的AWSAPI密钥来访问NPM(节点包管理)生产基础设施。这些API密钥是在攻击者使用窃取的OAuth令牌下载私有NPM存储库时获得的。NPM是一个通过npm包注册表下载或发布Node包的工具。在发现攻击后,TravisCI、Heroku和GitHub撤销了对OAuth令牌的访问权限,并建议受影响的组织监控审计日志和用户帐户安全日志以查找恶意活动。本文翻译自:https://threatpost.com/github-repos-stolen-oauth-tokens/179427/如有转载请注明原文地址。
