GitHub今天透露,一名攻擊者正在使用偷來的OAuth用戶令牌(原本發放給Heroku和Travis-CI),從私人倉庫下載數據。自2022年4月12日首次發現這一活動以來,威脅者已經從幾十個使用Heroku和Travis-CI維護的OAuth應用程序(包括npm)的受害組織中訪問並竊取數據。
“這些集成商維護的應用程序被GitHub用戶使用,包括GitHub本身,”GitHub的首席安全官(CSO)Mike Hanley今天透露。”我們不相信攻擊者是通過破壞GitHub或其系統來獲得這些令牌的,因為GitHub沒有以原始的可用格式存儲這些令牌。我們對威脅行為者的其他行為的分析表明,行為者可能正在挖掘被盜的OAuth令牌所能訪問的下載的私有倉庫內容,以尋找可用於滲透其他基礎設施的秘密。”
根據Hanley的說法,受影響的OAuth應用程序的列表包括:
Heroku Dashboard(ID:145909)
Heroku Dashboard (ID: 628778)
Heroku Dashboard – Preview (ID: 313468)
Heroku Dashboard – Classic (ID: 363831)
Travis CI (ID: 9216)
GitHub安全部門在4月12日發現了對GitHub的npm生產基礎設施的未經授權的訪問,因為攻擊者使用了一個被泄露的AWS API密鑰。攻擊者很可能是在使用偷來的OAuth令牌下載了多個私有npm倉庫后獲得了該API密鑰。
“在4月13日晚上發現非GitHub或npm存儲的第三方OAuth令牌被更廣泛地竊取后,我們立即採取行動,通過撤銷與GitHub和npm內部使用這些受損應用程序有關的令牌來保護GitHub和npm,”Hanley補充說。對npm組織的影響包括未經授權訪問GitHub.com的私有存儲庫和”潛在訪問”AWS S3存儲上的npm包。
GitHub的私人存儲庫未受影響
雖然攻擊者能夠從被攻擊的存儲庫中竊取數據,但GitHub認為,在這次事件中,沒有一個軟件包被修改,也沒有用戶賬戶數據或憑證被訪問。
Hanley說:”npm使用與GitHub.com完全不同的基礎設施;GitHub在這次原始攻擊中沒有受到影響。雖然調查仍在繼續,但我們沒有發現任何證據表明其他GitHub擁有的私有倉庫被攻擊者使用竊取的第三方OAuth令牌克隆。”
GitHub正在努力通知所有受影響的用戶和組織,因為他們被確認了更多信息。
作為GitHub的成員,您應該應該審查您和您的組織的審計日誌和用戶賬戶的安全日誌,看看是否有異常的、潛在的惡意活動。
您可以在周五發布的安全警報中找到更多關於GitHub如何應對以保護其用戶以及客戶和組織需要知道的信息。