GitHub OAuth漏洞中近100000名NPM用户的凭据被盗

周五，基于云的存储库托管服务GitHub分享了上月其集成OAuth令牌被盗的更多详细信息，指出攻击者能够访问内部NPM数据及其客户信息。

Greg Ose说：“攻击者利用从Heroku和Travis CI这两个第三方集成商窃取的OAuth用户令牌，能够升级对NPM基础设施的访问”，并补充说，攻击者随后成功获取了大量文件

• skimdb的数据库备份。npmjs.com包含截至2021年4月7日的数据，包括2015年的用户信息档案以及所有私有NPM包清单和包元数据。该档案包含大约100000个用户的NPM用户名、密码哈希和电子邮件地址
• 一组CSV文件，包含截至2022年4月10日所有NPM私有软件包的所有名称和版本号的存档，以及
• 来自两个组织的私有包的“小子集”

因此，GitHub正在采取步骤重置受影响用户的密码。它还将在未来几天内直接通知用户公开的私有包清单、元数据以及私有包名称和版本。

GitHub详述的攻击链涉及攻击者滥用OAuth令牌来过滤包含AWS访问密钥的私有NPM存储库，然后利用它们获得对注册表基础结构的未经授权的访问。

也就是说，据信，发布到注册表的所有包都没有被对手修改，也没有任何现有包的新版本上载到存储库。

此外，该公司表示，对OAuth令牌攻击的调查揭示了一个不相关的问题，该问题涉及发现“在npm集成到GitHub日志系统之后，在内部日志中捕获的npm注册表的明文用户凭据数量不详”

GitHub指出，它在发现攻击活动之前缓解了问题，并清除了包含明文凭据的日志。

GitHub于4月12日发现的OAuth盗窃案涉及一名身份不明的参与者，他利用向两个第三方OAuth集成商Heroku和Travis CI发行的OAuth用户令牌，从数十个组织（包括NPM）下载数据。

本月早些时候，微软旗下的子公司称这场活动本质上是“高度针对性的”，并补充道“攻击者只是为了识别有选择地针对私人存储库列出和下载的帐户而列出组织。”

Heroku后来承认，GitHub integration OAuth令牌被盗进一步涉及未经授权访问内部客户数据库，促使该公司重置所有用户密码。