IT之家 4月16日消息，GitHub 官方今日發公告，GitHub Security 在4月12日發現有攻擊者利用被盜的 OAuth 用戶令牌（原屬于 Heroku 和 Travis-CI 兩家第三方集成商），從私人倉庫下載數據。

據稱，自2022年4月12日首次發現這一活動以來，威脅者已經從幾十個使用上述集成商維護 OAuth 應用程序（包括 npm）的受害組織中訪問并竊取數據。

據稱，很多 GitHub 用戶會使用這些集成商維護的應用程序，包括 GitHub 本身。

GitHub 不相信攻擊者是通過 GitHub 或其系統的入侵獲得這些令牌的，因為 GitHub 并沒有以原始的可用格式保存令牌。經過調查，參與者可能正在偷偷下載一些私庫內容，以獲取可以用于其他基礎設施的秘密。

截至2022年4月15日的已知受影響的 OAuth 應用程序：

Heroku Dashboard （ID： 145909）

Heroku Dashboard （ID： 628778）

Heroku Dashboard – Preview （ID： 313468）

Heroku Dashboard – Classic （ID： 363831）

Travis CI （ID： 9216）

4月12日，GitHub Security 發現 npm 生產基礎設施出現未經授權的訪問，當時攻擊者使用的是一個受損的 AWS API 密鑰。

根據后續分析，GitHub 認為該 API 密鑰是由攻擊者在下載一組私有 npm 庫時獲得的，攻擊者使用了從上述兩個受影響的第三方 OAuth 應用程序之一竊取的 OAuth 令牌。

IT之家了解到，在4月13日晚發現第三方 OAuth 令牌被盜后 GitHub 便立即采取了行動，撤銷了與 GitHub 和 npm 內部使用這些被盜應用程序相關的令牌以保護用戶數據。

關鍵詞： github oauth令牌 應用程序 基礎設施