攻击者利用GitHub令牌窃取私人存储库数据

声明：该文章来自（安全圈）版权由原作者所有，K2OS渲染引擎提供网页加速服务。

GitHub 披露了上周的事件相关细节，黑客使用偷来的 OAuth 令牌，从私人仓库下载了数据。

GitHub 首席安全官 Mike Hanley 说："我们并不认为攻击者是通过破坏 GitHub 或其系统来获取这些令牌的，因为这些令牌并不是由 GitHub 以其原始可用的格式进行存储的，"。

OAuth（开放授权）是一个开放标准的授权框架协议，主要用于互联网上基于令牌的授权功能。它使得最终用户的账户信息能够被第三方服务所使用，如 Facebook 和谷歌。

Oauth 并不分享凭证，而是使用授权令牌来进行身份鉴定，并且作为一个中介来批准一个应用程序与另一个应用程序之间进行互动。

攻击者窃取或使用 OAuth 令牌进行攻击的安全事件并不少见。

微软在 2021 年 12 月就曝出了一个 Oauth 的漏洞，各个应用程序之间（Portfolios、O365 Secure Score 和 Microsoft Trust Service）容易出现认证漏洞，使攻击者可以接管 Azure 账户。为了使用该漏洞进行攻击，攻击者首先会在 OAuth 提供者的框架中注册他们的恶意应用程序，使其 URL 重定向到钓鱼网站。然后，攻击者会向他们的目标发送带有 OAuth 授权 URL 的钓鱼邮件。

攻击者的行为分析

GitHub 分析说，攻击者使用了窃取的 OAuth 令牌对 GitHub API 进行认证，这些令牌是分发给 Heroku 和 Travis CI 账户的。它补充说，大多数受影响的人都是在他们的 GitHub 账户中授权了 Heroku 或 Travis CI 的 OAuth 应用。网络攻击是有选择性的，攻击者克隆了感兴趣的私人存储库。

Hanley 说：" 这种行为模式表明，攻击者只是针对特定的组织，并且有选择性地下载私人存储库。GitHub 认为这些攻击是有高度针对性的。”

GitHub 表示，它正在向那些将 Travis CI 或 Heroku OAuth 应用集成到 GitHub 账户的客户发送最后通知。

4 月 12 日，GitHub 开始对被盗的令牌进行调查，当时 GitHub 安全部首次发现有人未经授权使用被窃取的 AWS API 密钥访问 NPM（Node Package Management）生产基础设施。这些 API 密钥是攻击者使用被盗的 OAuth 令牌下载私有 NPM 存储库时获得的。

NPM 是一个用于通过 npm 包注册表下载或发布节点包的工具。

发现攻击后，Travis CI、Heroku 和 GitHub 撤销了 OAuth 令牌的访问权，并建议受影响的组织监测审计日志和用户账户安全日志，防止恶意攻击活动的发生。

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/