IT之家 4月16日消息，GitHub 官方今日發(fā)公告，GitHub Security 在4月12日發(fā)現(xiàn)有攻擊者利用被盜的 OAuth 用戶令牌（原屬于 Heroku 和 Travis-CI 兩家第三方集成商），從私人倉庫下載數(shù)據(jù)。

據(jù)稱，自2022年4月12日首次發(fā)現(xiàn)這一活動以來，威脅者已經(jīng)從幾十個使用上述集成商維護 OAuth 應(yīng)用程序（包括 npm）的受害組織中訪問并竊取數(shù)據(jù)。

據(jù)稱，很多 GitHub 用戶會使用這些集成商維護的應(yīng)用程序，包括 GitHub 本身。

GitHub 不相信攻擊者是通過 GitHub 或其系統(tǒng)的入侵獲得這些令牌的，因為 GitHub 并沒有以原始的可用格式保存令牌。經(jīng)過調(diào)查，參與者可能正在偷偷下載一些私庫內(nèi)容，以獲取可以用于其他基礎(chǔ)設(shè)施的秘密。

截至2022年4月15日的已知受影響的 OAuth 應(yīng)用程序：

Heroku Dashboard （ID： 145909）

Heroku Dashboard （ID： 628778）

Heroku Dashboard – Preview （ID： 313468）

Heroku Dashboard – Classic （ID： 363831）

Travis CI （ID： 9216）

4月12日，GitHub Security 發(fā)現(xiàn) npm 生產(chǎn)基礎(chǔ)設(shè)施出現(xiàn)未經(jīng)授權(quán)的訪問，當(dāng)時攻擊者使用的是一個受損的 AWS API 密鑰。

根據(jù)后續(xù)分析，GitHub 認為該 API 密鑰是由攻擊者在下載一組私有 npm 庫時獲得的，攻擊者使用了從上述兩個受影響的第三方 OAuth 應(yīng)用程序之一竊取的 OAuth 令牌。

IT之家了解到，在4月13日晚發(fā)現(xiàn)第三方 OAuth 令牌被盜后 GitHub 便立即采取了行動，撤銷了與 GitHub 和 npm 內(nèi)部使用這些被盜應(yīng)用程序相關(guān)的令牌以保護用戶數(shù)據(jù)。

關(guān)鍵詞： github oauth令牌 應(yīng)用程序 基礎(chǔ)設(shè)施