IT之家 4月16日消息，GitHub 官方今日發(fā)公告，GitHub Security 在4月12日發(fā)現(xiàn)有攻擊者利用被盜的 OAuth 用戶令牌（原屬于 Heroku 和 Travis-CI 兩家第三方集成商），從私人倉庫下載數(shù)據(jù)。

據(jù)稱，自2022年4月12日首次發(fā)現(xiàn)這一活動(dòng)以來，威脅者已經(jīng)從幾十個(gè)使用上述集成商維護(hù) OAuth 應(yīng)用程序（包括 npm）的受害組織中訪問并竊取數(shù)據(jù)。

據(jù)稱，很多 GitHub 用戶會(huì)使用這些集成商維護(hù)的應(yīng)用程序，包括 GitHub 本身。

GitHub 不相信攻擊者是通過 GitHub 或其系統(tǒng)的入侵獲得這些令牌的，因?yàn)?GitHub 并沒有以原始的可用格式保存令牌。經(jīng)過調(diào)查，參與者可能正在偷偷下載一些私庫內(nèi)容，以獲取可以用于其他基礎(chǔ)設(shè)施的秘密。

截至2022年4月15日的已知受影響的 OAuth 應(yīng)用程序：

Heroku Dashboard （ID： 145909）

Heroku Dashboard （ID： 628778）

Heroku Dashboard – Preview （ID： 313468）

Heroku Dashboard – Classic （ID： 363831）

Travis CI （ID： 9216）

4月12日，GitHub Security 發(fā)現(xiàn) npm 生產(chǎn)基礎(chǔ)設(shè)施出現(xiàn)未經(jīng)授權(quán)的訪問，當(dāng)時(shí)攻擊者使用的是一個(gè)受損的 AWS API 密鑰。

根據(jù)后續(xù)分析，GitHub 認(rèn)為該 API 密鑰是由攻擊者在下載一組私有 npm 庫時(shí)獲得的，攻擊者使用了從上述兩個(gè)受影響的第三方 OAuth 應(yīng)用程序之一竊取的 OAuth 令牌。

IT之家了解到，在4月13日晚發(fā)現(xiàn)第三方 OAuth 令牌被盜后 GitHub 便立即采取了行動(dòng)，撤銷了與 GitHub 和 npm 內(nèi)部使用這些被盜應(yīng)用程序相關(guān)的令牌以保護(hù)用戶數(shù)據(jù)。

關(guān)鍵詞： github oauth令牌 應(yīng)用程序 基礎(chǔ)設(shè)施