GitHub披露了上周的事件相關(guān)細(xì)節(jié)，黑客使用偷來的OAuth令牌，從私人倉庫下載了數(shù)據(jù)。

GitHub首席安全官Mike Hanley說："我們并不認(rèn)為攻擊者是通過破壞GitHub或其系統(tǒng)來獲取這些令牌的，因為這些令牌并不是由GitHub以其原始可用的格式進(jìn)行存儲的，"。

OAuth（開放授權(quán)）是一個開放標(biāo)準(zhǔn)的授權(quán)框架協(xié)議，主要用于互聯(lián)網(wǎng)上基于令牌的授權(quán)功能。它使得最終用戶的賬戶信息能夠被第三方服務(wù)所使用，如Facebook和谷歌。

Oauth并不分享憑證，而是使用授權(quán)令牌來進(jìn)行身份鑒定，并且作為一個中介來批準(zhǔn)一個應(yīng)用程序與另一個應(yīng)用程序之間進(jìn)行互動。

攻擊者竊取或使用OAuth令牌進(jìn)行攻擊的安全事件并不少見。

微軟在2021年12月就曝出了一個Oauth的漏洞，各個應(yīng)用程序之間（Portfolios、O365 Secure Score和Microsoft Trust Service）容易出現(xiàn)認(rèn)證漏洞，使攻擊者可以接管Azure賬戶。為了使用該漏洞進(jìn)行攻擊，攻擊者首先會在OAuth提供者的框架中注冊他們的惡意應(yīng)用程序，使其URL重定向到釣魚網(wǎng)站。然后，攻擊者會向他們的目標(biāo)發(fā)送帶有OAuth授權(quán)URL的釣魚郵件。

攻擊者的行為分析

GitHub分析說，攻擊者使用了竊取的OAuth令牌對GitHub API進(jìn)行認(rèn)證，這些令牌是分發(fā)給Heroku和Travis CI賬戶的。它補(bǔ)充說，大多數(shù)受影響的人都是在他們的GitHub賬戶中授權(quán)了Heroku或Travis CI的OAuth應(yīng)用。網(wǎng)絡(luò)攻擊是有選擇性的，攻擊者克隆了感興趣的私人存儲庫。

Hanley說："這種行為模式表明，攻擊者只是針對特定的組織，并且有選擇性地下載私人存儲庫。GitHub認(rèn)為這些攻擊是有高度針對性的。”

GitHub表示，它正在向那些將Travis CI或Heroku OAuth應(yīng)用集成到GitHub賬戶的客戶發(fā)送最后通知。

4月12日，GitHub開始對被盜的令牌進(jìn)行調(diào)查，當(dāng)時GitHub安全部首次發(fā)現(xiàn)有人未經(jīng)授權(quán)使用被竊取的AWS API密鑰訪問NPM（Node Package Management）生產(chǎn)基礎(chǔ)設(shè)施。這些API密鑰是攻擊者使用被盜的OAuth令牌下載私有NPM存儲庫時獲得的。

NPM是一個用于通過npm包注冊表下載或發(fā)布節(jié)點包的工具。

發(fā)現(xiàn)攻擊后，Travis CI、Heroku和GitHub撤銷了OAuth令牌的訪問權(quán)，并建議受影響的組織監(jiān)測審計日志和用戶賬戶安全日志，防止惡意攻擊活動的發(fā)生。

本文翻譯自：https://threatpost.com/github-repos-stolen-oauth-tokens/179427/如若轉(zhuǎn)載，請注明原文地址。