透露数十个组织被一个数据窃贼入侵,这个窃贼使用盗取的 OAuth 令牌访问他们的私有存储库。
开发者平台的安全团队在一周前开始了对此次运动的调查,并在昨天通知了所有已确认的受害者。
GitHub CSO 的 Mike Hanley 声称,Heroku 和 Travis CI 维护的第三方 OAuth 用户令牌被攻击者滥用。然而,他补充说,并不认为它们是通过 GitHub 本身的妥协而被盗取的,因为这个平台并不存储这些令牌的原始可用格式。
“我们对威胁参与者的其他行为的分析表明,参与者可能正在挖掘下载的私有存储库内容,窃取的 OAuth 令牌可以访问这些内容,以获取可用于转向其他基础设施的秘密,”汉利解释说。
软件注册中心 npm 是受影响的组织之一。
“最初的检测与这次攻击发生在4月12日,当时 GitHub Security 使用一个被破坏的 AWS API 密钥发现了对我们 npm 生产基础设施的未经授权的访问,”Hanley 说。
“根据随后的分析,我们相信这个 API 密钥是攻击者使用从上述两个受影响的第三方 OAuth 应用程序之一盗取的 OAuth 令牌下载一组私有 npm 存储库时获得的。”
在发现了更广泛的攻击之后,GitHub 的安全团队撤销了与 GitHub 和 npm 内部使用受到破坏的 OAuth 应用相关的令牌。
特拉维斯 CI 团队昨天表示,他们已经取消并重新发布了所有集成了特拉维斯 CI 和 GitHub 的私人客户授权密钥和令牌,但他们不认为这个问题会对客户构成风险。
“在2022年4月15日,特拉维斯 CI 人员被告知,某些私人客户存储库可能被一个人利用中间人2fa 攻击,利用第三方集成令牌进行访问,”报告说。
“同一天,经过进一步审查,特拉维斯 CI 人员得知,黑客入侵了 Heroku 服务,并访问了用于集成 Heroku 和 Travis CI 应用程序的私人应用程序 OAuth 密钥。此密钥不提供对任何 Travis CI 客户存储库或任何 Travis CI 客户数据的访问。我们彻底调查了这个问题,没有发现任何侵入私有客户存储库(即源代码)的证据,因为在 Heroku 攻击中盗取的 OAuth 密钥不提供这种类型的访问。”
Heroku 已经撤销了 Heroku Dashboard GitHub 集成的所有 OAuth 令牌,并暂时停止了 Heroku Dashboard 令牌的发行。