查看原文
其他

GitHub:攻击者正在利用被盗 OAuth 令牌攻击数十家组织机构

Sergiu Gatlan 代码卫士 2022-12-15

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士


GitHub 提醒称,攻击者正在利用盗取的、签发给 Heroku 和 Travis-CI 的OAuth 用户令牌从私有仓库下载数据。


由于攻击者在2022年4月12日就已开始发动攻击,因此他们已经访问并从数十家使用由 Heroku 和 Travis-CI 维护的 OAuth 应用(包括npm)的组织机构受害者处盗取数据。

GitHub 的首席安全官 Mike Hanley 指出,“由这些集成商维护的应用由 GitHub 用户使用,包括 GitHub 本身也在使用。我们认为攻击者并非通过攻陷 GitHub 或其系统获取了这些令牌,因为这些令牌并非由GitHub 以原始的可用格式存储。对该攻击组织其它行为分析发现,这些攻击者可能正在挖掘已下载的私有仓库内容,而被盗的OAuth 令牌可访问这些内容,他们挖掘下载的目的是查找可用于跳转到其它基础设施上的机密信息。”

Hanley 指出,受影响的OAuth 应用包括:

  • Heroku Dashboard (ID: 145909)

  • Heroku Dashboard (ID: 628778)

  • Heroku Dashboard – Preview (ID: 313468)

  • Heroku Dashboard – Classic (ID: 363831)

  • Travis CI (ID: 9216)

GitHub Security 在攻击者于4月12日使用了一个受陷的AWS API密钥后,发现了对 GitHub npm 生产基础设施的越权访问。该攻击者可能是通过被盗OAuth 令牌下载多个私有npm仓库后获取了这些API密钥。

Hanley 分析认为,“4月13日晚上发现并非由GitHub 或 npm 存储的第三方 OAuth 令牌后,我们立即采取措施,撤销和 GitHub 和npm 内部使用相关的令牌。” 对 npm 组织机构的影响博阿凯越权访问 GitHub.com 仓库和“可能访问” AWS S3 存储桶中的npm 程序包。


GitHub 私有仓库不受影响


虽然攻击者可从受陷仓库中窃取数据,但 GitHub 认为这些程序包并未修改,用户账户或凭据未遭访问。

Hanley 表示,“npm 使用的基础设施和 GitHub.com 完全不同;GitHub 未受攻击。尽管调查还在继续,但我们未发现其它 GitHub 拥有的私有仓库遭使用被盗第三方 OAuth 令牌的攻击者克隆。”GitHub 表示获得更多消息后将通知所有受影响用户和组织机构。

用户应审计所在组织机构的审计日志和用户账户安全日志中的异常、潜在恶意活动。





代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com






推荐阅读

Waydev 客户的GitHub 和 GitLab OAuth 令牌被盗,源代码遭访问

我找到一个价值5.5万美元的 Facebook OAuth账户劫持漏洞




原文链接

https://www.bleepingcomputer.com/news/security/github-attacker-breached-dozens-of-orgs-using-stolen-oauth-tokens/


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存