攻擊者利用GitHub令牌竊取私人存儲庫數據
GitHub披露了上周的事件相關細節,黑客使用偷來的OAuth令牌,從私人倉庫下載了數據。
GitHub首席安全官Mike Hanley說:"我們并不認為攻擊者是通過破壞GitHub或其系統來獲取這些令牌的,因為這些令牌并不是由GitHub以其原始可用的格式進行存儲的,"。
OAuth(開放授權)是一個開放標準的授權框架協議,主要用于互聯網上基于令牌的授權功能。它使得最終用戶的賬戶信息能夠被第三方服務所使用,如Facebook和谷歌。
Oauth并不分享憑證,而是使用授權令牌來進行身份鑒定,并且作為一個中介來批準一個應用程序與另一個應用程序之間進行互動。
攻擊者竊取或使用OAuth令牌進行攻擊的安全事件并不少見。
微軟在2021年12月就曝出了一個Oauth的漏洞,各個應用程序之間(Portfolios、O365 Secure Score和Microsoft Trust Service)容易出現認證漏洞,使攻擊者可以接管Azure賬戶。為了使用該漏洞進行攻擊,攻擊者首先會在OAuth提供者的框架中注冊他們的惡意應用程序,使其URL重定向到釣魚網站。然后,攻擊者會向他們的目標發送帶有OAuth授權URL的釣魚郵件。
攻擊者的行為分析
GitHub分析說,攻擊者使用了竊取的OAuth令牌對GitHub API進行認證,這些令牌是分發給Heroku和Travis CI賬戶的。它補充說,大多數受影響的人都是在他們的GitHub賬戶中授權了Heroku或Travis CI的OAuth應用。網絡攻擊是有選擇性的,攻擊者克隆了感興趣的私人存儲庫。
Hanley說:"這種行為模式表明,攻擊者只是針對特定的組織,并且有選擇性地下載私人存儲庫。GitHub認為這些攻擊是有高度針對性的。”
GitHub表示,它正在向那些將Travis CI或Heroku OAuth應用集成到GitHub賬戶的客戶發送最后通知。
4月12日,GitHub開始對被盜的令牌進行調查,當時GitHub安全部首次發現有人未經授權使用被竊取的AWS API密鑰訪問NPM(Node Package Management)生產基礎設施。這些API密鑰是攻擊者使用被盜的OAuth令牌下載私有NPM存儲庫時獲得的。
NPM是一個用于通過npm包注冊表下載或發布節點包的工具。
發現攻擊后,Travis CI、Heroku和GitHub撤銷了OAuth令牌的訪問權,并建議受影響的組織監測審計日志和用戶賬戶安全日志,防止惡意攻擊活動的發生。
