GitHub透露：攻击者利用偷来的OAuth令牌入侵了几十个组织

dcexpert

GitHub透露：攻击者利用偷来的OAuth令牌入侵了几十个组织 [复制链接]

GitHub今天透露，一名攻击者正在使用偷来的OAuth用户令牌（原本发放给Heroku和Travis-CI），从私人仓库下载数据。自2022年4月12日首次发现这一活动以来，威胁者已经从几十个使用Heroku和Travis-CI维护的OAuth应用程序（包括npm）的受害组织中访问并窃取数据。

 

"这些集成商维护的应用程序被GitHub用户使用，包括GitHub本身，"GitHub的首席安全官（CSO）Mike Hanley今天透露。"我们不相信攻击者是通过破坏GitHub或其系统来获得这些令牌的，因为GitHub没有以原始的可用格式存储这些令牌。我们对威胁行为者的其他行为的分析表明，行为者可能正在挖掘被盗的OAuth令牌所能访问的下载的私有仓库内容，以寻找可用于渗透其他基础设施的秘密。"

 

根据Hanley的说法，受影响的OAuth应用程序的列表包括：

    Heroku Dashboard（ID：145909）

    Heroku Dashboard (ID: 628778)

    Heroku Dashboard - Preview (ID: 313468)

    Heroku Dashboard - Classic (ID: 363831)

    Travis CI (ID: 9216)

 

GitHub安全部门在4月12日发现了对GitHub的npm生产基础设施的未经授权的访问，因为攻击者使用了一个被泄露的AWS API密钥。攻击者很可能是在使用偷来的OAuth令牌下载了多个私有npm仓库后获得了该API密钥。

 

"在4月13日晚上发现非GitHub或npm存储的第三方OAuth令牌被更广泛地窃取后，我们立即采取行动，通过撤销与GitHub和npm内部使用这些受损应用程序有关的令牌来保护GitHub和npm，"Hanley补充说。对npm组织的影响包括未经授权访问GitHub.com的私有存储库和"潜在访问"AWS S3存储上的npm包。

 

 

虽然攻击者能够从被攻击的存储库中窃取数据，但GitHub认为，在这次事件中，没有一个软件包被修改，也没有用户账户数据或凭证被访问。

 

Hanley说："npm使用与GitHub.com完全不同的基础设施；GitHub在这次原始攻击中没有受到影响。虽然调查仍在继续，但我们没有发现任何证据表明其他GitHub拥有的私有仓库被攻击者使用窃取的第三方OAuth令牌克隆。"

 

来自：https://www.cnbeta.com/articles/tech/1258953.htm

led2015

以前一直羡慕那种技术性强到自己不会的技术