阅读本篇资讯之前,推荐阅读: Github 通知使用OAuth令牌被盗的私人仓库所有者
OAuth 访问令牌是用于将授权从单点登录服务传递到另外一个应用程序的常用方法,应用程序和服务间使用 OAuth 访问令牌访问特定用户数据并且进行数据通信,无需共享任何凭证。
Github 首席执行官透漏,攻击者正在使用被盗取的 OAuth 用户令牌从存有存储库中下载数据。
GitHub Security 调查显示,证据表明,攻击者滥用被盗的 OAuth 用户令牌发给两个第三方 OAuth 集成商 Heroku 和 Travis-CI,然后从包括 npm 在内的数十个组织下载数据。这些集成商维护的应用程序被 Github 用户使用,包括 Github 本身。而且 Github 方认定,攻击者并非通过入侵 Github 系统获得用户令牌,因此攻击者所用的数据格式与 Github 的存储格式不同。
Github Security 发现攻击者通过使用泄露的 AWS 密钥对 Github 的 npm 基础设施进行了未经授权的访问,AWS API 密钥是攻击者通过使用盗取的 OAuth 令牌从一组私有 npm 仓库中获得的,Github 方在发现 OAuth 用户令牌的滥用后,立即采取行动,暂时撤销与 Github 相关的令牌来保护 Github 和 npm。此外 Github 详细排查了此次滥用事件,攻击者没有修改任何包或访问任何用户账户数据,只下载了部分受影响的私有仓库代码。
Github 方要求 Heroku 和 Travis-CI 启动自己的安全调查,撤销受此次事件影响的所有 OAuth 用户令牌,并以邮件通知所有已知受影响的用户和组织。
如果你想了解更多讯息,可以参考: github.blog/2022-04-15-…
