GitHub 称黑客使用窃取的 OAuth 令牌入侵了 npm 等数十个组织

频道:行业资讯 日期: 浏览:1099

  

GitHub首席安全官迈克·汉利透露,攻击者正在使用被盗的OAuth用户令牌从私有存储库中下载数据。

GitHub 称黑客使用窃取的 OAuth 令牌入侵了 npm 等数十个组织

  

有证据表明,攻击者滥用被盗的OAuth用户令牌发给两个第三方OAuth集成商Heroku和Travis-CI,然后从包括npm在内的数十个组织下载数据。这些集成商维护的应用程序被GitHub用户使用,包括GitHub本身。

  

攻击者并非通过入侵GitHub或其系统获得了这些令牌,因为GitHub未以原始可用格式存储相关令牌。

  

应用程序和服务使用OAuth访问令牌以授权访问特定的用户数据并相互通信,而无需共享实际凭据.OAuth访问令牌是用于将授权从单点登录(SSO)服务传递到另一个应用程序的最常用方法之一。

GitHub安全于4月12日发现,有攻击者使用泄露的AWS API密钥对GitHub的npm生产基础设施进行未经授权的访问。这个AWS API密钥是攻击者通过使用窃取的OAuth令牌从一组私有npm仓库中获得的,但攻击者没有修改任何GitHub包或访问任何用户帐户数据,只下载了受影响的私有仓库代码。

这次OAuth用户令牌泄露,受影响的服务包括:Heroku仪表板和特拉维斯CI, GitHub已经撤销了与受影响应用程序相关的访问令牌,并以邮件通知所有已知受影响的用户和组织。

GitHub 称黑客使用窃取的 OAuth 令牌入侵了 npm 等数十个组织

0 留言

评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。
验证码