星球日報訊GitHub已經敲響了網絡攻擊的警鐘,該攻擊導致數十家組織的私人存儲庫被未經授權的一方濫用被盜的OAuth用戶代幣下載。這一事件是在4月12日被發現的,當時代碼託管平台在它的npm生產基礎設施上發現了可疑活動。根據GitHub的建議,攻擊者使用竊取的AWS API密鑰獲得了訪問權限,而該密鑰似乎是在攻擊者濫用兩個第三方OAuth集成器Heroku或Travis-CI的OAuth代幣下載私有npm存儲庫時獲得的。 GitHub和許多平台用戶使用了由這兩個集成商維護的應用程序,Heroku和Travis-CI在4月13日和14日都收到了相關通知,並被要求撤銷潛在的OAuth用戶代幣。 (Security Week)
dark