GitHub 称黑客使用窃取的 OAuth 令牌入侵了 npm 等数百个组织


GitHub 首席安全官 Mike Hanley 透露,攻击者正在使用被盗的 OAuth 用户令牌从私有存储库中下载数据。
有证据表明,攻击者滥用被盗的 OAuth 用户令牌发给两个第三方 OAuth 集成商 Heroku 和 Travis-CI,然后从包括 npm 在内的数十个组织下载数据。这些集成商维护的应用程序被 GitHub 用户使用,包括 GitHub 本身。 攻击者并非通过入侵 GitHub 或其系统获得了这些令牌,因为 GitHub 未以原始可用格式存储相关令牌。
应用程序和服务使用 OAuth 访问令牌以授权访问特定的用户数据并相互通信,而无需共享实际凭据。OAuth 访问令牌是用于将授权从单点登录 ( SSO ) 服务传递到另一个应用程序的最常用方法之一。 GitHub 安全于 4 月 12 日发现,有攻击者使用泄露的 AWS API 密钥对 GitHub 的 npm 生产基础设施进行未经授权的访问。这个 AWS API 密钥是攻击者通过使用窃取的 OAuth 令牌从一组私有 npm 仓库中获得的,但攻击者没有修改任何 GitHub 包或访问任何用户帐户数据,只下载了受影响的私有仓库代码。 这次 OAuth 用户令牌泄露,受影响的服务包括:Heroku Dashboard 和 Travis CI ,GitHub 已经撤销了与受影响应用程序相关的访问令牌,并以邮件通知所有已知受影响的用户和组织。

相關推薦

2023-10-09

s Rolling out Support for Passkeys in Windows 11 (thehackernews.com)】 2.黑客利用零点字体伪装成Microsoft Outlook诱骗显示虚假的AV扫描警报 黑客正在利用零点字体在电子邮件中的新型技巧,使恶意邮件看起来像是Microsoft Outlook中的安全工具发出

2023-01-20

年底 Slack 也是因为员工令牌被盗,让黑客获得了 Slack 的 GitHub 仓库访问权。 这两起安全事件透露出,公司除了要加强产品和系统本身的安全性,还需要加强员工账号的安全性和员工的安全意识。 无密码解决方案就是一项目前

2023-01-07

在假期应该过得十分郁闷,因为在 12 月 27 日他们的私有 GitHub 代码库遭到入侵并发生代码泄漏。 不法分子通过被盗的 "有限" 数量的 Slack 员工令牌获得了对 Slack GitHub 仓库的访问权。Slack 表示,虽然公司的一些私有代码库被入

2023-01-27

上周五,Riot Games 发推称其开发环境遭到黑客攻击,入侵者可能已窃取英雄联盟 (LoL)、Teamfight Tactics (TFT) 和该公司的上个版本反作弊平台 Packman 的源代码。目前拳头公司已收到了威胁者发来的 1000 万美元赎金通知 ,要求支付该笔

2023-06-20

份这场攻击或幕后黑手的任何进一步细节。目前尚不清楚黑客窃取了哪些类型的数据,BlackCat 也没有分享任何数据窃取的证据。 Reddit 的新 API 定价计划在最近几周引起了很大争议。许多板块比如 /r/videos、/r/gaming、/r/sports、/r/aww

2023-03-01

去年 8 月,密码管理公司 LastPass 证实公司遭到了黑客攻击,部分源代码和专有技术信息遭窃取。当时用户和企业的数据,以及加密的密码库没有受到影响。 去年 12 月 LastPass 再遭入侵,黑客利用了前一次窃取的信息访问了 LastPa

2021-11-16

11月12日,黑客 “AgainstTheWest” 在 raidforums 论坛宣布自己入侵了阿里云的服务器并窃取了大量源码,窃取的源码以 5000 美元的价格打包售卖,支付方式为比特币或门罗币。 黑客“AgainstTheWest”(以下简称 ATW)是10月底我们报道

2022-08-27

知名的密码管理公司 LastPass 日前证实,公司遭到了黑客攻击,部分源代码和专有技术信息遭窃取,但用户数据并没有遭到泄漏。 此次黑客攻击实际上发生在两周前,但 LastPass 直到现在才发布安全公告,确认它是通过一个泄露

2024-08-15

大河财立方8月14日消息,名为“Fenice”的黑客发帖曝料称,其窃取了腾讯的海量数据库,手握14亿用户账号信息。据报道,该数据库采用JSON格式,包括电子邮件地址、手机号码和QQID等敏感字段。本次泄露的数据可能不是近期发

2023-01-29

Yandex Metrika(互联网分析) 泄露文件的目录:http://gist.github.com/ArseniyShestakov/53a80e3214601aa20d1075872a1ea989 Yandex 在回应媒体的声明中表示,他们的系统没有被黑客入侵,一名前雇员泄露了源代码仓库。目前没有发现对用户数据或平

2022-03-29

贩子,甚至可能连累运用技术手段从事反入侵工作的道德黑客。 OSI 称,愤怒情绪可以理解,抗议是言论​​自由的重要组成部分,应该受到保护。但开放性和包容性是开源文化的基石,开源社区的工具是为全球访问和参与而设

2022-09-20

份,是有史以来销量第二高的电子游戏。 近日 ,一名黑客在黑进 Rockstar 的服务器后窃取了《GTA 6》预构建的游戏视频和源代码。 在周日,该黑客先是将《GTA 6》的相关游戏视频上传至 GTAForums 论坛的,其中包含了 90 个游戏

2023-04-11

数据库,窃取了该公司的源代码、密钥,以及微星产品中使用的 BIOS 固件等,数据总量达到 1.5TB。 Money Message 在暗网上发布了被盗文件的截图,并要求微星支付 400 万美元来赎回这些数据,否则将在本周公开这些被盗数据。

2023-10-13

witter)上发布的帖子表示,它观察到一个名为 Storm-0062 的黑客组织正在利用 Atlassian Confluence 数据中心和服务器中最近披露的一个关键缺陷。 Atlassian 在 10 月 4 日披露了其 Confluence 数据中心和服务器中的一个漏洞:CVE-2023-22515。