GitHub今天透露,攻击者正在使用窃取的OAuth用户令牌(最初颁发给Heroku和Travis-CI)从私有仓库下载数据。自该活动于2022年4月12日首次被发现以来,威胁行为者已经使用由Heroku和Travis-CI维护的OAuth应用程序(包括npm)访问并窃取了数十个受害组织的数据。“这些集成商维护的应用程序供GitHub用户使用,包括GitHub本身,”GitHub的首席安全官(CSO)MikeHanley今天透露。“我们不认为攻击者通过破坏GitHub或其系统获得了这些令牌,因为GitHub不会以其原始可用格式存储这些令牌。我们对威胁行为者其他行为的分析表明,该行为者可能正在挖掘被盗的OAuth令牌可以访问下载私人存储库的内容,以找到可用于渗透其他基础设施的秘密。”据Hanley介绍,受影响的OAuth应用程序列表包括:HerokuDashboard(ID:145909)HerokuDashboard(ID:628778)HerokuDashboard-Preview(ID:313468)HerokuDashboard-Classic(ID:363831)TravisCI(ID:9216))GitHubSecurity于4月12日发现对GitHub的npm生产基础设施的攻击是未经授权的访问,因为攻击者使用了被破坏的AWSAPI密钥。攻击者很可能在使用窃取的OAuth令牌下载多个私有npm存储库后获得了API密钥。“在4月13日晚发现GitHub或npm未存储的第三方OAuth令牌遭到更广泛盗窃后,我们立即采取行动保护GitHub和npm,”Hanley补充道。对npm组织的影响包括未经授权访问GitHub.com的私有存储库和“潜在访问”AWSS3存储上的npm包。GitHub的私有存储库未受影响。虽然攻击者能够从受感染的存储库中窃取数据,但GitHub认为在此次事件中没有修改任何包,也没有访问用户帐户数据或凭据。“npm使用与GitHub.com完全不同的基础设施;GitHub在这次最初的攻击中没有受到影响。虽然调查正在进行中,但我们没有发现任何证据表明攻击者使用了GitHub拥有的其他私有存储库,”Hanley说。被盗的第三方OAuth令牌克隆。”GitHub正在努力通知所有受影响的用户和组织,因为他们被识别出更多信息。作为GitHub的成员,您应该查看您和您的组织的审计日志和用户帐户安全日志,以了解异常情况,潜在的恶意活动。您可以在周五发布的安全警报中了解更多有关GitHub如何响应以保护其用户以及客户和组织需要了解的信息。
