GitHub透露:攻擊者利用偷來的OAuth令牌入侵了幾十個組織
GitHub今天透露,一名攻擊者正在使用偷來的OAuth用戶令牌(原本發(fā)放給Heroku和Travis-CI),從私人倉庫下載數(shù)據(jù)。自2022年4月12日首次發(fā)現(xiàn)這一活動以來,威脅者已經(jīng)從幾十個使用Heroku和Travis-CI維護的OAuth應用程序(包括npm)的受害組織中訪問并竊取數(shù)據(jù)。
"這些集成商維護的應用程序被GitHub用戶使用,包括GitHub本身,"GitHub的首席安全官(CSO)Mike Hanley今天透露。"我們不相信攻擊者是通過破壞GitHub或其系統(tǒng)來獲得這些令牌的,因為GitHub沒有以原始的可用格式存儲這些令牌。我們對威脅行為者的其他行為的分析表明,行為者可能正在挖掘被盜的OAuth令牌所能訪問的下載的私有倉庫內(nèi)容,以尋找可用于滲透其他基礎設施的秘密。"
根據(jù)Hanley的說法,受影響的OAuth應用程序的列表包括:
- Heroku Dashboard(ID:145909)
- Heroku Dashboard (ID: 628778)
- Heroku Dashboard - Preview (ID: 313468)
- Heroku Dashboard - Classic (ID: 363831)
- Travis CI (ID: 9216)
GitHub安全部門在4月12日發(fā)現(xiàn)了對GitHub的npm生產(chǎn)基礎設施的未經(jīng)授權的訪問,因為攻擊者使用了一個被泄露的AWS API密鑰。攻擊者很可能是在使用偷來的OAuth令牌下載了多個私有npm倉庫后獲得了該API密鑰。
"在4月13日晚上發(fā)現(xiàn)非GitHub或npm存儲的第三方OAuth令牌被更廣泛地竊取后,我們立即采取行動,通過撤銷與GitHub和npm內(nèi)部使用這些受損應用程序有關的令牌來保護GitHub和npm,"Hanley補充說。對npm組織的影響包括未經(jīng)授權訪問GitHub.com的私有存儲庫和"潛在訪問"AWS S3存儲上的npm包。
GitHub的私人存儲庫未受影響
雖然攻擊者能夠從被攻擊的存儲庫中竊取數(shù)據(jù),但GitHub認為,在這次事件中,沒有一個軟件包被修改,也沒有用戶賬戶數(shù)據(jù)或憑證被訪問。
Hanley說:"npm使用與GitHub.com完全不同的基礎設施;GitHub在這次原始攻擊中沒有受到影響。雖然調(diào)查仍在繼續(xù),但我們沒有發(fā)現(xiàn)任何證據(jù)表明其他GitHub擁有的私有倉庫被攻擊者使用竊取的第三方OAuth令牌克隆。"
GitHub正在努力通知所有受影響的用戶和組織,因為他們被確認了更多信息。
作為GitHub的成員,您應該應該審查您和您的組織的審計日志和用戶賬戶的安全日志,看看是否有異常的、潛在的惡意活動。
您可以在周五發(fā)布的安全警報中找到更多關于GitHub如何應對以保護其用戶以及客戶和組織需要知道的信息。