4月16日消息��,GitHub官方今日發(fā)公告���,GitHub Security在4月12日發(fā)現(xiàn)有攻擊者利用被盜的OAuth用戶令牌(原屬于Heroku和Travis-CI兩家第三方集成商),從私人倉庫下載數(shù)據(jù)����。
據(jù)稱,自2022年4月12日首次發(fā)現(xiàn)這一活動(dòng)以來�,威脅者已經(jīng)從幾十個(gè)使用上述集成商維護(hù)OAuth應(yīng)用程序(包括npm)的受害組織中訪問并竊取數(shù)據(jù)。
據(jù)稱����,很多GitHub用戶會(huì)使用這些集成商維護(hù)的應(yīng)用程序,包括GitHub本身���。
GitHub不相信攻擊者是通過GitHub或其系統(tǒng)的入侵獲得這些令牌的��,因?yàn)镚itHub并沒有以原始的可用格式保存令牌���。經(jīng)過調(diào)查�,參與者可能正在偷偷下載一些私庫內(nèi)容���,以獲取可以用于其他基礎(chǔ)設(shè)施的秘密�����。
截至2022年4月15日的已知受影響的OAuth應(yīng)用程序:
Heroku Dashboard(ID:145909)
Heroku Dashboard(ID:628778)
Heroku Dashboard–Preview(ID:313468)
Heroku Dashboard–Classic(ID:363831)
Travis CI(ID:9216)
4 月12日�����,GitHub Security發(fā)現(xiàn)npm生產(chǎn)基礎(chǔ)設(shè)施出現(xiàn)未經(jīng)授權(quán)的訪問,當(dāng)時(shí)攻擊者使用的是一個(gè)受損的AWS API密鑰�����。
根據(jù)后續(xù)分析��,GitHub認(rèn)為該API密鑰是由攻擊者在下載一組私有npm庫時(shí)獲得的�,攻擊者使用了從上述兩個(gè)受影響的第三方OAuth應(yīng)用程序之一竊取的OAuth令牌。
了解到���,在4月13日晚發(fā)現(xiàn)第三方OAuth令牌被盜后GitHub便立即采取了行動(dòng)���,撤銷了與GitHub和npm內(nèi)部使用這些被盜應(yīng)用程序相關(guān)的令牌以保護(hù)用戶數(shù)據(jù)�����。
