GitHub：攻击者正在利用被盗 OAuth 令牌攻击数十家组织机构

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

由于攻击者在2022年4月12日就已开始发动攻击，因此他们已经访问并从数十家使用由 Heroku 和 Travis-CI 维护的 OAuth 应用（包括npm）的组织机构受害者处盗取数据。

GitHub 的首席安全官 Mike Hanley 指出，“由这些集成商维护的应用由 GitHub 用户使用，包括 GitHub 本身也在使用。我们认为攻击者并非通过攻陷 GitHub 或其系统获取了这些令牌，因为这些令牌并非由GitHub 以原始的可用格式存储。对该攻击组织其它行为分析发现，这些攻击者可能正在挖掘已下载的私有仓库内容，而被盗的OAuth 令牌可访问这些内容，他们挖掘下载的目的是查找可用于跳转到其它基础设施上的机密信息。”

Hanley 指出，受影响的OAuth 应用包括：

GitHub Security 在攻击者于4月12日使用了一个受陷的AWS API密钥后，发现了对 GitHub npm 生产基础设施的越权访问。该攻击者可能是通过被盗OAuth 令牌下载多个私有npm仓库后获取了这些API密钥。

Hanley 分析认为，“4月13日晚上发现并非由GitHub 或 npm 存储的第三方 OAuth 令牌后，我们立即采取措施，撤销和 GitHub 和npm 内部使用相关的令牌。” 对 npm 组织机构的影响博阿凯越权访问 GitHub.com 仓库和“可能访问” AWS S3 存储桶中的npm 程序包。

虽然攻击者可从受陷仓库中窃取数据，但 GitHub 认为这些程序包并未修改，用户账户或凭据未遭访问。

Hanley 表示，“npm 使用的基础设施和 GitHub.com 完全不同；GitHub 未受攻击。尽管调查还在继续，但我们未发现其它 GitHub 拥有的私有仓库遭使用被盗第三方 OAuth 令牌的攻击者克隆。”GitHub 表示获得更多消息后将通知所有受影响用户和组织机构。

用户应审计所在组织机构的审计日志和用户账户安全日志中的异常、潜在恶意活动。