GitHub:攻击者正在利用被盗 OAuth 令牌攻击数十家组织机构

最新推荐文章于 2023-08-01 17:46:32 发布
最新推荐文章于 2023-08-01 17:46:32 发布
阅读量153 收藏
点赞数
文章标签: java 安全 git 大数据 github
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247511412&idx=3&sn=e1ae2051f86fd59769f851a34b74a6d8&chksm=ea949c1edde31508e64bd8a4cfd379c97ace6c1e7b27fca2a187950cb327637742b57a7fac03&scene=126&&sessionid=0
版权

298a720ad101309362e615251e0f93d6.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

e0e1ccd7d8c49908efb43e8336b92558.png

GitHub 提醒称,攻击者正在利用盗取的、签发给 Heroku 和 Travis-CI 的OAuth 用户令牌从私有仓库下载数据。

4be85363755f98db7dd8ad46d4b2130f.png

由于攻击者在2022年4月12日就已开始发动攻击,因此他们已经访问并从数十家使用由 Heroku 和 Travis-CI 维护的 OAuth 应用(包括npm)的组织机构受害者处盗取数据。

GitHub 的首席安全官 Mike Hanley 指出,“由这些集成商维护的应用由 GitHub 用户使用,包括 GitHub 本身也在使用。我们认为攻击者并非通过攻陷 GitHub 或其系统获取了这些令牌,因为这些令牌并非由GitHub 以原始的可用格式存储。对该攻击组织其它行为分析发现,这些攻击者可能正在挖掘已下载的私有仓库内容,而被盗的OAuth 令牌可访问这些内容,他们挖掘下载的目的是查找可用于跳转到其它基础设施上的机密信息。”

Hanley 指出,受影响的OAuth 应用包括:

  • Heroku Dashboard (ID: 145909)

  • Heroku Dashboard (ID: 628778)

  • Heroku Dashboard – Preview (ID: 313468)

  • Heroku Dashboard – Classic (ID: 363831)

  • Travis CI (ID: 9216)

GitHub Security 在攻击者于4月12日使用了一个受陷的AWS API密钥后,发现了对 GitHub npm 生产基础设施的越权访问。该攻击者可能是通过被盗OAuth 令牌下载多个私有npm仓库后获取了这些API密钥。

Hanley 分析认为,“4月13日晚上发现并非由GitHub 或 npm 存储的第三方 OAuth 令牌后,我们立即采取措施,撤销和 GitHub 和npm 内部使用相关的令牌。” 对 npm 组织机构的影响博阿凯越权访问 GitHub.com 仓库和“可能访问” AWS S3 存储桶中的npm 程序包。

d48609195cbfbe1a515cabe7c5584722.png

GitHub 私有仓库不受影响

虽然攻击者可从受陷仓库中窃取数据,但 GitHub 认为这些程序包并未修改,用户账户或凭据未遭访问。

Hanley 表示,“npm 使用的基础设施和 GitHub.com 完全不同;GitHub 未受攻击。尽管调查还在继续,但我们未发现其它 GitHub 拥有的私有仓库遭使用被盗第三方 OAuth 令牌的攻击者克隆。”GitHub 表示获得更多消息后将通知所有受影响用户和组织机构。

用户应审计所在组织机构的审计日志和用户账户安全日志中的异常、潜在恶意活动。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

Waydev 客户的GitHub 和 GitLab OAuth 令牌被盗,源代码遭访问

我找到一个价值5.5万美元的 Facebook OAuth账户劫持漏洞

原文链接

https://www.bleepingcomputer.com/news/security/github-attacker-breached-dozens-of-orgs-using-stolen-oauth-tokens/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

3f3598e5403b84119ca9afbc86e5f637.png

799e38f6d05712dbf48ed37fd0ac59c2.png

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   b7e0a08ab272145a88844f283cedb287.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
passport-github-token:通过OAuth2访问令牌通过GitHub进行身份验证的Passport策略
04-30
护照-github-令牌 使用OAuth 2.0 API使用GitHub访问令牌进行身份验证的策略。 该模块使您可以在Node.js应用程序中使用GitHub进行身份验证。 通过插入Passport,可以轻松,毫不费力地将GitHub身份验证集成到任何支持风格中间件(包括应用程序或框架中。 安装 npm install passport-github-token 用法 配置策略 GitHub身份验证策略使用GitHub帐户和OAuth 2.0令牌对用户进行身份验证。 该策略要求verify回调,该回调接受这些凭据并在next为用户提供调用,以及指定应用ID和应用机密的options 。 var GitHubTokenStrategy = require ( 'passport-github-token' ) ; passport . use ( new GitHubTokenStr
ueberauth_github:Überauth的GitHub OAuth2策略
05-15
ÜberauthGitHub Überauth的GitHub OAuth2策略。 安装 在设置您的应用程序。 添加:ueberauth_github你在依赖列表mix.exs : def deps do [{ :ueberauth_github , " ~> 0.7 " }] end 将GitHub添加到您的Überauth配置中: config :ueberauth , Ueberauth , providers: [ github: { Ueberauth . Strategy . Github , []} ] 更新您的提供程序配置: config :ueberauth , Ueberauth . Strategy . Github . OAuth , client_id: System . get_env ( " GITHUB_CLIENT_I
jabbslad-accounts-github:用于 Meteor Auth 的 Github OAuth2 登录服务
06-03
jabbslad-帐户-github 注意:此服务已弃用请参阅以获取官方 Meteor 帐户-github 包。 用于 Meteor Auth 的 Github OAuth2 登录服务 包依赖 此登录服务取决于 Meteor Auth 分支中的前沿变化。 有关更多详细信息,请参阅 。 帐户( ) account-oauth2-helper() http 用法 meteor add accounts-github 阅读的“与登录服务集成”部分,并确保正确设置了配置和密码。 调用Meteor.loginWithGithub(); 学分 无耻地基于 Google OAuth2 登录服务 修复了最新的auth分支更改并支持可配置对话框。 谢啦!
verdaccio-github-oauth-ui:Ver用于Verdaccio的GitHub OAuth插件
02-03
:package: :locked_with_key: Verdaccio GitHub OAuth-具有UI支持 适用于Verdaccio的GitHub OAuth插件– 关于 这是一个Verdaccio插件,为浏览器和命令行提供GitHub OAuth集成。 产品特点 UI集成,具有完整的登录和注销功能。 单击登录按钮后,用户将重定向到GitHub并返回工作会话。 更新了使用情况信息和适用于安装命令的“复制到剪贴板”。 小型CLI,可快速轻松地进行配置。 兼容性 Verdaccio 3和4 节点> = 10 Chrome,Firefox,Firefox ESR,Edge,Safari,IE 11 建立 安装 $ npm in
攻击数亿个账户,黑客利用OAuth2.0疯狂作恶
bdfcfff77fa的博客
08-01 247
OAuth是一种标准授权协议,它允许用户在不需要向第三方网站或应用提供密码的情况下向第三方网站或应用授予对存储于其他网站或应用上的信息的。
OAuth2.0原理与攻击
crystal_shrimps的博客
10-23 825
文章目录OAuth2.0协议原理令牌与密码OAuth的参与实体OAuth2.0流程授权模式:授权码模式简化模式客户端模式密码模式令牌刷新安全漏洞access_token未绑定用户CSRF绑定劫持redirect_url授权劫持简化授权模式授权码模式防御 OAuth2.0协议原理 OAuth 2.0 是目前最流行的授权机制,用来授权第三方应用,获取部分用户数据。 OAuth2.0是OAuth协议的下...
OAuth 2.0攻击方法及案例总结
zhangge3663的博客
11-05 1089
OAuth流程 本文以两种广泛使用的方案为标准展开。 如对流程不了解,请先移步学习:理解OAuth 2.0 Authorization Code response_type = code redirect_uri scope client_id state Implicit response_type = token redirect_uri...
常见的OAuth令牌漏洞
github_38730134的博客
02-25 940
常见的OAuth令牌漏洞 什么是bearer令牌 OAuth规范将bearer令牌定义为一种安全装置,他就有这样的特性:只要当事方拥有令牌,就能使用它,而不管当事方是谁,从技术的角度看,bearer令牌与浏览器的cookie很相似,它们具有相同的基本特性: 都使用纯文本字符串 不包含密钥或者签名 安全模式都建立在TLS基础上 它们之间的区别: 浏览器使用cookie由来已久,而bearer令牌对于OAuth客户端则是新技术 浏览器实行同源策略,这意味着一个域之下的cookie不会被传
什么!GitHub被“中介”攻击了?中间人攻击
开发者技术前线-DevolperFront
03-27 1153
点击“开发者技术前线”,选择“星标????”在看|星标|留言, 真爱来自:开源中国26 日-27 日,国内无法访问 GitHub(从国外访问正常,并且...
github-oauth-prompt:轻松创建GitHub OAuth令牌
04-27
轻松创建GitHub OAuth令牌。 完全支持两因素身份验证。 入门 使用以下命令安装模块: npm install github-oauth-prompt var oauth = require ( 'github-oauth-prompt' ) ; oauth ( { name : 'my-token' } , ...
GitHub又受攻击
stormzhang的专栏
01-28 454
最近号称「全球最大同性交友网站GitHub」又遭受攻击了,这几天都不稳定,今天早上又挂了,国外的程序员们纷纷表示:GitHub挂了没法上班了。充分说明GitHub在程序员...
开发人员在2022泄露了1000万个凭据和密码
网络研究观
03-13 9947
开发人员泄露关键软件机密(例如密码和 API 密钥)的比率跃升了一半,达到每 1000 次 GitHub 存储库提交中的 5.5 次。
GitHub:黑客盗用 OAuth 令牌,导致数十个组织数据泄露
CSDN资讯
04-19 7110
GitHub 安全部经调查发现,有攻击者滥用被盗OAuth 用户令牌从包括 npm 在内的数十个组织中下载数据。
典型的软件供应链攻击事件有哪些?我们又该如何应对?
weixin_55163056的博客
05-31 305
软件供应链安全风险加剧,我们该如何应对?
github pages好像被攻击
Lzboger的博客
03-26 1110
github pages好像被攻击了 今天打开github pages发现无法打开,证书被篡改了,但是github官网可以正常访问
GitHub上有一份大神整理的十几“渗透攻击”经验,你想要么?
爱编程
03-08 2555
来自:开源最前线(ID:OpenSourceTop)项目地址:https://github.com/Micropoor/Micro8在GitHub上,你出来可以托管自己的...
GitHub遭受MITM(中间人)攻击
champyin的博客
03-27 422
昨天下午4点多起,github pages 突然不能访问,今早,GitHub 官网也出现不能访问的情况。访问这些网站时,浏览器统一检测出证书无效。现在是20203月27日北京时间13点...
GitHub遭受有史以来最严重DDoS攻击
weixin_34279061的博客
03-10 533
2019独角兽企业重金招聘Python工程师标准>>> ...
github:Failed to connect to github.com port 443
最新发布
01-22
在Linux服务器上遇到无法连接到GitHub.com的问题,可能是由于网络连接问题或防火墙设置导致的。以下是一些可能的解决方法: 1. 检查网络连接:确保服务器的网络连接正常,并且可以访问其他网站。可以尝试使用ping...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值