GitHub 4月15日透露，網(wǎng)絡(luò)攻擊者正使用被盜的 OAuth 用戶令牌從其私有存儲(chǔ)庫(kù)下載數(shù)據(jù)。

據(jù)悉，這類攻擊事件被首次發(fā)現(xiàn)于4月12日，攻擊者使用 Heroku 和 Travis-CI 兩家第三方集成商維護(hù)的 OAuth 應(yīng)用程序(包括 npm)訪問(wèn)并竊取了數(shù)十個(gè)組織的數(shù)據(jù)。GitHub首席安全官 (CSO) Mike Hanley 透露，這些集成商維護(hù)的應(yīng)用程序會(huì)被 GitHub 用戶使用，也包括 GitHub 本身。

“我們不認(rèn)為攻擊者通過(guò)入侵 GitHub 或其系統(tǒng)獲得了這些令牌，因?yàn)?GitHub 并未以原始的可用格式存儲(chǔ)這些令牌，”Hanley表示?！啊拔覀儗?duì)攻擊者的其他行為分析表明，他們可能正在挖掘下載私有存儲(chǔ)庫(kù)內(nèi)容，被盜的 OAuth 令牌可以訪問(wèn)這些內(nèi)容，以獲取可用于其他基礎(chǔ)設(shè)施的秘密?！?/p>

根據(jù) Hanley 的說(shuō)法，受影響的 OAuth 應(yīng)用程序包括：

• Heroku Dashboard (ID： 145909)
• Heroku Dashboard (ID： 628778)
• Heroku Dashboard – Preview (ID： 313468)
• Heroku Dashboard – Classic (ID： 363831)
• Travis CI (ID： 9216)

根據(jù)描述，GitHub 安全部門 于 4 月 12 日發(fā)現(xiàn)攻擊者使用泄露的 AWS API 密鑰，對(duì) GitHub 的 npm 生產(chǎn)基礎(chǔ)設(shè)施進(jìn)行未經(jīng)授權(quán)的訪問(wèn)。這些API密鑰可能就是攻擊者使用竊取的 OAuth 令牌下載多個(gè)私有 npm 存儲(chǔ)庫(kù)后獲得。4月13日，在發(fā)現(xiàn)第三方 OAuth 令牌被盜竊后，GitHub已立即采取行動(dòng)，通過(guò)撤銷與 GitHub 相關(guān)令牌和 npm 對(duì)這些受感染應(yīng)用程序的內(nèi)部使用來(lái)保護(hù)數(shù)據(jù)。

雖然攻擊者能夠從受感染的存儲(chǔ)庫(kù)中竊取數(shù)據(jù)，但 GitHub 認(rèn)為，npm 使用與 GitHub 完全獨(dú)立的基礎(chǔ)設(shè)施， GitHub沒(méi)有任何包被修改，也沒(méi)有在攻擊中出現(xiàn)訪問(wèn)用戶帳戶數(shù)據(jù)或憑證泄露的情況。此外，也未有任何證據(jù)表明，攻擊者使用被盜的第三方 OAuth 令牌克隆了其他的 GitHub 私有存儲(chǔ)庫(kù)。

目前調(diào)查仍在繼續(xù)，GitHub 已將有關(guān)情況通知給所有受影響的用戶和組織。

參考來(lái)源：https://www.bleepingcomputer.com/news/security/github-attacker-breached-dozens-of-orgs-using-stolen-oauth-tokens/