GitHub今天透露,一名攻击者正在使用偷来的OAuth用户令牌(原本发放给Heroku和Travis-CI),从私人仓库下载数据。自2022年4月12日首次发现这一活动以来,威胁者已经从几十个使用Heroku和Travis-CI维护的OAuth应用程序(包括npm)的受害组织中访问并窃取数据。
“这些集成商维护的应用程序被GitHub用户使用,包括GitHub本身,”GitHub的首席安全官(CSO)Mike Hanley今天透露。”我们不相信攻击者是通过破坏GitHub或其系统来获得这些令牌的,因为GitHub没有以原始的可用格式存储这些令牌。我们对威胁行为者的其他行为的分析表明,行为者可能正在挖掘被盗的OAuth令牌所能访问的下载的私有仓库内容,以寻找可用于渗透其他基础设施的秘密。”
根据Hanley的说法,受影响的OAuth应用程序的列表包括:
Heroku Dashboard(ID:145909)
Heroku Dashboard (ID: 628778)
Heroku Dashboard – Preview (ID: 313468)
Heroku Dashboard – Classic (ID: 363831)
Travis CI (ID: 9216)
GitHub安全部门在4月12日发现了对GitHub的npm生产基础设施的未经授权的访问,因为攻击者使用了一个被泄露的AWS API密钥。攻击者很可能是在使用偷来的OAuth令牌下载了多个私有npm仓库后获得了该API密钥。
“在4月13日晚上发现非GitHub或npm存储的第三方OAuth令牌被更广泛地窃取后,我们立即采取行动,通过撤销与GitHub和npm内部使用这些受损应用程序有关的令牌来保护GitHub和npm,”Hanley补充说。对npm组织的影响包括未经授权访问GitHub.com的私有存储库和”潜在访问”AWS S3存储上的npm包。
GitHub的私人存储库未受影响
虽然攻击者能够从被攻击的存储库中窃取数据,但GitHub认为,在这次事件中,没有一个软件包被修改,也没有用户账户数据或凭证被访问。
Hanley说:”npm使用与GitHub.com完全不同的基础设施;GitHub在这次原始攻击中没有受到影响。虽然调查仍在继续,但我们没有发现任何证据表明其他GitHub拥有的私有仓库被攻击者使用窃取的第三方OAuth令牌克隆。”
GitHub正在努力通知所有受影响的用户和组织,因为他们被确认了更多信息。
作为GitHub的成员,您应该应该审查您和您的组织的审计日志和用户账户的安全日志,看看是否有异常的、潜在的恶意活动。
您可以在周五发布的安全警报中找到更多关于GitHub如何应对以保护其用户以及客户和组织需要知道的信息。
转自 cnBeta ,原文链接:https://www.cnbet *** /articles/tech/1258953.htm
封面来源于 *** ,如有侵权请联系删除
Google 今天发布了第 3 个紧急更新,修复了存在于 Chrome 浏览器中的另一个零日漏洞。周四,Google 面向 macOS、Windows 和 Linux 发布了 Chrome 100.0.4898.127 更新,会在未来几天内完成部署。 本次更新修复了追踪为 CVE-2022-1364...
Hackernews 编译,转载请注明出处: 一个P2P的Golang僵尸网络在一年多后重新浮出水面,在一个月内侵入了医疗、教育和政府部门实体的服务器,感染了总共1500台主机。 Akamai 的研究人员在与 The Hacker News 共享的一份报告中称,这种名为 FritzFrog 的“分...
微软今天宣布,它将默认阻止5个Office应用程序中VBA宏脚本的执行,这是近年来影响最大的变化之一。从2022年4月初开始,Access、Excel、PowerPoint、Visio和Word用户将不能在他们从互联网上下载的不受信任的文件中启用宏脚本。 安全研究人员多年来一直要求作出这一改变,这将...
SushiSwap 首席技术官表示,该公司的 MISO 平台近日受到了软件供应链的攻击。SushiSwap 是一个社区驱动的去中心化金融(DeFi)平台,方便用户交换、赚取、借出、借用和利用加密货币资产。今年早些时候,Sushi 的最新产品 Minimal Initial SushiSwap Off...
Google的安全研究人员对NSO集团的一个零点击iMessage进行了深入研究,并揭示了该公司攻击的复杂性。Google Project Zero(零点项目)指出,ForcedEntry零点击漏洞–它已被用来针对活动家和记者–是“我们所见过的技术中最复杂的漏洞之一”。 另外,它还说明了NSO集团...