GitHub 4月15日透露，網絡攻擊者正使用被盜的 OAuth 用戶令牌從其私有存儲庫下載數據。

據悉，這類攻擊事件被首次發現于4月12日，攻擊者使用 Heroku 和 Travis-CI 兩家第三方集成商維護的 OAuth 應用程序(包括 npm)訪問并竊取了數十個組織的數據。GitHub首席安全官 (CSO) Mike Hanley 透露，這些集成商維護的應用程序會被 GitHub 用戶使用，也包括 GitHub 本身。

“我們不認為攻擊者通過入侵 GitHub 或其系統獲得了這些令牌，因為 GitHub 并未以原始的可用格式存儲這些令牌，”Hanley表示。““我們對攻擊者的其他行為分析表明，他們可能正在挖掘下載私有存儲庫內容，被盜的 OAuth 令牌可以訪問這些內容，以獲取可用于其他基礎設施的秘密。”

根據 Hanley 的說法，受影響的 OAuth 應用程序包括：

• Heroku Dashboard (ID： 145909)
• Heroku Dashboard (ID： 628778)
• Heroku Dashboard – Preview (ID： 313468)
• Heroku Dashboard – Classic (ID： 363831)
• Travis CI (ID： 9216)

根據描述，GitHub 安全部門 于 4 月 12 日發現攻擊者使用泄露的 AWS API 密鑰，對 GitHub 的 npm 生產基礎設施進行未經授權的訪問。這些API密鑰可能就是攻擊者使用竊取的 OAuth 令牌下載多個私有 npm 存儲庫后獲得。4月13日，在發現第三方 OAuth 令牌被盜竊后，GitHub已立即采取行動，通過撤銷與 GitHub 相關令牌和 npm 對這些受感染應用程序的內部使用來保護數據。

雖然攻擊者能夠從受感染的存儲庫中竊取數據，但 GitHub 認為，npm 使用與 GitHub 完全獨立的基礎設施， GitHub沒有任何包被修改，也沒有在攻擊中出現訪問用戶帳戶數據或憑證泄露的情況。此外，也未有任何證據表明，攻擊者使用被盜的第三方 OAuth 令牌克隆了其他的 GitHub 私有存儲庫。

目前調查仍在繼續，GitHub 已將有關情況通知給所有受影響的用戶和組織。

參考來源：https://www.bleepingcomputer.com/news/security/github-attacker-breached-dozens-of-orgs-using-stolen-oauth-tokens/