首页 > 安全 > 正文

GitHub:在4月OAuth攻击中偷走了近100,000个NPM用户凭证

最后更新 :2022.05.28

GitHub在4月发生的Oauth代币的盗窃中提供了更多详细信息,并拥有近100,000个NPM用户凭证。

GitHub提供了有关4月遭受的事件的其他详细信息,攻击者能够攻击者能够窃取近100k NPM用户的凭证。

4月,GitHub使用被盗的Oauth用户令牌发现了威胁参与者,以获取其存储库并从几个组织下载私人数据。

攻击者滥用了被盗的Oauth用户令牌,该用户代币发给了两个第三方Oauth Oauth Integrators,Heroku和Travis-Ci,从包括NPM在内的数十个组织下载数据。Github排除了攻击者通过Github或其系统的妥协获得这些令牌的,该公司解释说,Github并未以其原始可用格式存储用于访问存储库的被盗令牌。

4月12日,公司推出了将一系列未经授权的访问访问在数十个组织的存储库中存储的数据。专家首先在4月12日检测到该公司的安全团队使用受损的AWS API密钥确定未经授权的NPM生产基础架构的访问。

据称,威胁参与者通过下载一组未指定的AWS API键私人NPM存储库,使用两个受影响的OAUTH应用程序之一中的一个被盗的OAuth令牌。GitHub撤销了与受影响应用程序相关的访问令牌。

现在,Microsoft拥有的公司提供了有关事件的更新,攻击者能够升级对NPM基础架构的访问并访问从NPM Cloud Storage中删除的以下文件:

SKIMDB.NPMJS.COM的备份,包含2021年4月7日的数据,并提供以下信息:2015年以来的用户信息存档。这包含NPM用户名,密码哈希和电子邮件地址截至2021年4月7日,所有私人NPM用户大约有100k npm用户。。

对日志和软件包哈希验证的分析表明,攻击者没有修改存储库中的任何软件包或发布任何现有软件包的任何新版本。

,与OAuth代币攻击无关,揭示了由于NPM集成到GitHub日志记录系统中,因此在内部日志中收集了许多NPM注册表的明文用户凭据。

公司正在重置受影响用户的密码,并通过电子邮件通知用户。

已重置属于访问的数据库备份的受影响用户的密码,并已通知这些用户。两个组织分析确认活动后,立即通知被盗的私人包裹。在接下来的几天中,我们将直接通知那些私人包装,元数据以及私人软件包名称和版本的人。总结公告。

安全事务是2022年欧洲最佳网络安全博客奖的决赛选手之一 - 投票给您的获奖者。我请您再次为我投票(即使您已经做过),因为这项投票是为决赛投票。

请在每个类别中投票支持安全事务和Pierluigi Paganini包括它们(例如,“弱者 - 最佳个人(非商业)安全博客”和“ Tech Whiz - 最佳技术博客”)

提名,请访问:[123

- END -

看更多