GitHub今天透露，一名攻擊者正在使用偷來的OAuth用戶令牌(原本發(fā)放給Heroku和Travis-CI)，從私人倉庫下載數(shù)據(jù)。自2022年4月12日首次發(fā)現(xiàn)這一活動以來，威脅者已經(jīng)從幾十個使用Heroku和Travis-CI維護(hù)的OAuth應(yīng)用程序(包括npm)的受害組織中訪問并竊取數(shù)據(jù)。

"這些集成商維護(hù)的應(yīng)用程序被GitHub用戶使用，包括GitHub本身，"GitHub的首席安全官(CSO)Mike Hanley今天透露。"我們不相信攻擊者是通過破壞GitHub或其系統(tǒng)來獲得這些令牌的，因?yàn)镚itHub沒有以原始的可用格式存儲這些令牌。我們對威脅行為者的其他行為的分析表明，行為者可能正在挖掘被盜的OAuth令牌所能訪問的下載的私有倉庫內(nèi)容，以尋找可用于滲透其他基礎(chǔ)設(shè)施的秘密。"

根據(jù)Hanley的說法，受影響的OAuth應(yīng)用程序的列表包括：

• Heroku Dashboard(ID：145909)
• Heroku Dashboard (ID: 628778)
• Heroku Dashboard - Preview (ID: 313468)
• Heroku Dashboard - Classic (ID: 363831)
• Travis CI (ID: 9216)

GitHub安全部門在4月12日發(fā)現(xiàn)了對GitHub的npm生產(chǎn)基礎(chǔ)設(shè)施的未經(jīng)授權(quán)的訪問，因?yàn)楣粽呤褂昧艘粋€被泄露的AWS API密鑰。攻擊者很可能是在使用偷來的OAuth令牌下載了多個私有npm倉庫后獲得了該API密鑰。

"在4月13日晚上發(fā)現(xiàn)非GitHub或npm存儲的第三方OAuth令牌被更廣泛地竊取后，我們立即采取行動，通過撤銷與GitHub和npm內(nèi)部使用這些受損應(yīng)用程序有關(guān)的令牌來保護(hù)GitHub和npm，"Hanley補(bǔ)充說。對npm組織的影響包括未經(jīng)授權(quán)訪問GitHub.com的私有存儲庫和"潛在訪問"AWS S3存儲上的npm包。

GitHub的私人存儲庫未受影響

雖然攻擊者能夠從被攻擊的存儲庫中竊取數(shù)據(jù)，但GitHub認(rèn)為，在這次事件中，沒有一個軟件包被修改，也沒有用戶賬戶數(shù)據(jù)或憑證被訪問。

Hanley說："npm使用與GitHub.com完全不同的基礎(chǔ)設(shè)施;GitHub在這次原始攻擊中沒有受到影響。雖然調(diào)查仍在繼續(xù)，但我們沒有發(fā)現(xiàn)任何證據(jù)表明其他GitHub擁有的私有倉庫被攻擊者使用竊取的第三方OAuth令牌克隆。"

GitHub正在努力通知所有受影響的用戶和組織，因?yàn)樗麄儽淮_認(rèn)了更多信息。

作為GitHub的成員，您應(yīng)該應(yīng)該審查您和您的組織的審計日志和用戶賬戶的安全日志，看看是否有異常的、潛在的惡意活動。

您可以在周五發(fā)布的安全警報中找到更多關(guān)于GitHub如何應(yīng)對以保護(hù)其用戶以及客戶和組織需要知道的信息。