GitHub表示，黑客利用窃取的OAuth访问令牌破坏了数十个组织

基于云的存储库托管服务GitHub于周五透露，它发现了一个匿名对手利用窃取的OAuth用户令牌未经授权从多个组织下载私人数据的证据。

GitHub的MikeHanley在一份报告中透露：“攻击者滥用了向两个第三方OAuth集成商Heroku和Travis CI发行的被盗OAuth用户令牌，从数十个组织下载数据，包括NPM”。

OAuth访问令牌通常被应用程序和服务用来授权访问用户数据的特定部分，并在不必共享实际凭据的情况下相互通信。这是用于将授权从单点登录（SSO）服务传递到另一个应用程序的最常用方法之一。

截至2022年4月15日，受影响的OAuth应用程序列表如下

• Heroku仪表板（ID:145909）
• Heroku仪表板（ID:628778）
• Heroku仪表板–；预览（ID:313468）
• Heroku仪表板–；经典型（ID:363831）
• Travis CI（身份证号码：9216）

该公司表示，OAuth代币并不是通过违反GitHub或其系统获得的，因为它没有以原始的可用格式存储代币。

此外，GitHub警告说，威胁参与者可能正在使用这些第三方OAuth应用程序分析从受害者实体下载的私有存储库内容，以收集其他机密，然后利用这些机密将其转移到其基础架构的其他部分。

微软拥有的平台指出，它在4月12日发现了攻击活动的早期证据，当时它遇到了未经授权使用泄露的AWS API密钥访问其NPM生产环境的情况。

据信，该AWS API密钥是通过从两个受影响的OAuth应用程序之一下载一组未指定的专用NPM存储库，使用被盗的OAuth令牌获得的。GitHub表示，它已经吊销了与受影响应用程序相关的访问令牌。

该公司表示：“目前，我们评估，攻击者没有修改任何软件包，也没有访问任何用户帐户数据或凭据”。该公司补充说，目前仍在调查，以确定攻击者是否查看或下载了私人软件包。

在另一份通知中，Salesforce子公司Heroku确认了访问令牌的吊销，并添加了“在进一步通知之前，我们将不会从Heroku仪表板颁发OAuth令牌”，以“防止未经授权访问您的GitHub存储库”

GitHub还表示，目前正在确定并通知未来72小时内可能因此次事件而受到影响的所有已知受害者用户和组织。