GitHub:攻击者正在利用被盗 OAuth 令牌攻击数十家组织机构

298a720ad101309362e615251e0f93d6.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

e0e1ccd7d8c49908efb43e8336b92558.png

GitHub 提醒称,攻击者正在利用盗取的、签发给 Heroku 和 Travis-CI 的OAuth 用户令牌从私有仓库下载数据。

4be85363755f98db7dd8ad46d4b2130f.png

由于攻击者在2022年4月12日就已开始发动攻击,因此他们已经访问并从数十家使用由 Heroku 和 Travis-CI 维护的 OAuth 应用(包括npm)的组织机构受害者处盗取数据。

GitHub 的首席安全官 Mike Hanley 指出,“由这些集成商维护的应用由 GitHub 用户使用,包括 GitHub 本身也在使用。我们认为攻击者并非通过攻陷 GitHub 或其系统获取了这些令牌,因为这些令牌并非由GitHub 以原始的可用格式存储。对该攻击组织其它行为分析发现,这些攻击者可能正在挖掘已下载的私有仓库内容,而被盗的OAuth 令牌可访问这些内容,他们挖掘下载的目的是查找可用于跳转到其它基础设施上的机密信息。”

Hanley 指出,受影响的OAuth 应用包括:

  • Heroku Dashboard (ID: 145909)

  • Heroku Dashboard (ID: 628778)

  • Heroku Dashboard – Preview (ID: 313468)

  • Heroku Dashboard – Classic (ID: 363831)

  • Travis CI (ID: 9216)

GitHub Security 在攻击者于4月12日使用了一个受陷的AWS API密钥后,发现了对 GitHub npm 生产基础设施的越权访问。该攻击者可能是通过被盗OAuth 令牌下载多个私有npm仓库后获取了这些API密钥。

Hanley 分析认为,“4月13日晚上发现并非由GitHub 或 npm 存储的第三方 OAuth 令牌后,我们立即采取措施,撤销和 GitHub 和npm 内部使用相关的令牌。” 对 npm 组织机构的影响博阿凯越权访问 GitHub.com 仓库和“可能访问” AWS S3 存储桶中的npm 程序包。

d48609195cbfbe1a515cabe7c5584722.png

GitHub 私有仓库不受影响

虽然攻击者可从受陷仓库中窃取数据,但 GitHub 认为这些程序包并未修改,用户账户或凭据未遭访问。

Hanley 表示,“npm 使用的基础设施和 GitHub.com 完全不同;GitHub 未受攻击。尽管调查还在继续,但我们未发现其它 GitHub 拥有的私有仓库遭使用被盗第三方 OAuth 令牌的攻击者克隆。”GitHub 表示获得更多消息后将通知所有受影响用户和组织机构。

用户应审计所在组织机构的审计日志和用户账户安全日志中的异常、潜在恶意活动。


代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com


推荐阅读

Waydev 客户的GitHub 和 GitLab OAuth 令牌被盗,源代码遭访问

我找到一个价值5.5万美元的 Facebook OAuth账户劫持漏洞

原文链接

https://www.bleepingcomputer.com/news/security/github-attacker-breached-dozens-of-orgs-using-stolen-oauth-tokens/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

3f3598e5403b84119ca9afbc86e5f637.png

799e38f6d05712dbf48ed37fd0ac59c2.png

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   b7e0a08ab272145a88844f283cedb287.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值