黑客用GitHub用户令牌从数十家企业内部系统窃取信息

上周，GitHub安全研究人员报告称，4月12日，一名未知的攻击者使用被盗的Heroku和Travis CI维护的第三方OAuth用户令牌从数十家企业（包括npm）的私有存储库中下载数据。

虽然目前尚不清楚究竟有多少企业受到了此次活动的影响，但根据软件供应链保护提供商BluBracket的说法，可以确认的是攻击者“利用了npm私有库中的AWS密钥。”

因此，此次曝光的数据泄露不仅限于GitHub，还可能波及集成了Heroku/Travis的所有应用程序。使用Heroku和Travis生成OAuth用户令牌的企业应该尽快评估这些工具带来的安全风险。

OAuth令牌被盗的风险

OAuth令牌是IT供应商用于自动化云服务（如代码存储库和devops管道）的首选方法之一。但是，虽然这些令牌对于关键IT服务很有用，但它们也很容易被盗。

正如NIT Application Security研究员Ray Kelly所言：“如果令牌被泄露，例如GitHub令牌，攻击者可以窃取公司知识产权IP，或修改源代码发起传播恶意软件或窃取个人隐私信息的供应链攻击。”

虽然这些令牌通常对大多数服务不可见，但熟练的攻击者仍然可以找到获取它们的方法，例如基于浏览器的攻击、开放重定向或基于恶意软件的攻击。

正是出于这个原因，GitHub建议企业用户定期审查哪些OAuth应用程序已被授权访问关键数据资源，删除不必要的，并在可能的情况下审核访问权限。

新的供应链攻击？

GitHub OAuth令牌泄露事件与许多重大供应链攻击有相似之处，例如SolarWinds和Kaseya漏洞，攻击者可对多个下游组织发起攻击。

根据NCC集团的报告，供应链攻击在2021年下半年同比增加了51%。

该报告还发现，大多数组织都没有准备好面对供应链攻击，只有34%的安全决策者表示他们的组织有足够的“弹性”。

防御供应链攻击（例如OAuth令牌滥用）的核心挑战在于，现代云/混合网络非常复杂，攻击面扩大到难以保护的水平。

“云为我们带来了大量的安全改进，但易用性本身隐藏缺点。易用性容易导致疏忽，例如未能审计、监控或OAuth密钥过期，”Bugcrowd的创始人兼首席技术官Casey Ellis说道：“当此类攻击中使用的OAuth密钥无法从数据库或权限不足的存储库中窃取时，攻击者还会使用恶意软件或基于浏览器的攻击从客户端收集它们，然后由初始访问代理收集和汇总，并转售给那些想要进行特定攻击的人。”

（来源：@GoUpSec）