本文来自微信公众号“CSDN(ID:CSDNnews)”,整理|张仕影,责编|郑丽媛。
4月15日,GitHub Security(GitHub安全部)经调查发现,有攻击者滥用被盗的OAuth用户令牌(发放给Heroku和Travis-CI这两家集成商的),从包括npm(JavaScript运行时环境Node.js的默认包管理器)在内的数十个组织中下载数据。
1、OAuth令牌被盗用
GitHub首席安全官Mike Hanley表示,最初发现事件的相关信息是在4月12日,GitHub Security发现有人未经授权使用一个受损的AWS API密钥访问GitHub的npm生产基础设施。随后他们分析发现,遭盗用的OAuth权限来自Heroku与Travis-CI其中一家集成商,而这个API密钥是使用窃取的OAuth令牌下载一组私有npm存储库时获得的。
Mike Hanley还表示,在4月13日晚发现第三方OAuth令牌被广泛窃取后,他们立即采取行动,通过撤销与GitHub和npm内部受损应用程序有关的令牌来保护其自身。
2、npm受到主要影响
GitHub通过对攻击者的其他行为分析表明,被盗的OAuth令牌可以访问攻击者挖掘下载的私有存储库内容,攻击者以此获取可以用来进入其他基础设施的密钥。但GitHub不认为攻击者是通过破坏GitHub或其系统来获得这些令牌的,因为GitHub并没有以其原始可用的格式存储这些令牌。
GitHub方面认为,对npm组织的影响主要有两个,其一是未经授权访问和下载GitHub.com中的私有存储库,其二是“潜在访问”AWS S3存储中的npm包。另外,虽然GitHub经过评估认为攻击者没有修改任何包或获得任何用户的数据和凭证,但他们仍然在继续调查攻击者是否查看或下载了私有包。不过由于npm使用的是与GitHub.com完全分离的基础设施,因此GitHub在这次原始攻击中并没有受到影响。
目前调查仍在继续,但GitHub还没有发现任何证据表明攻击者使用被盗的第三方OAuth令牌克隆了其他GitHub拥有的私有存储库。
截至2022年4月15日,已知受影响的OAuth应用程序:
Heroku Dashboard(ID:145909)
Heroku Dashboard(ID:628778)
Heroku Dashboard–Preview(ID:313468)
Heroku Dashboard–Classic(ID:363831)
Travis CI(ID:9216)
3、GitHub的应对措施及建议
一旦GitHub发现被盗的第三方OAuth令牌会影响GitHub用户,GitHub将会立即采取措施做出回应以及保护用户。GitHub目前与Heroku和Travis-CI保持密切联系,以协助他们进行调查和恢复工作,并要求他们启动自己的安全调查,撤销所有与受影响的应用程序相关的OAuth用户令牌以及通知他们自己的用户。
目前,GitHub表示,他们正在努力识别以及通知那些已经受到影响的用户和组织,这些用户和组织将会收到一封来自GitHub的通知电子邮件,其中包含更多的详细信息和后续步骤,以帮助用户在接下来的72小时内做出回应。
GitHub同时建议用户和组织应当定期查看已经授权或被授权访问的OAuth应用程序,并及时删除所有不再需要的东西。此外,用户还可以查看自己的组织审计日志和用户账户安全日志以了解意外或异常的活动。
