GitHub警告私人存储库被未经授权方利用OAuth代币下载

GATE.IO芝麻开门

GATE.IO芝麻开门交易所(原比特儿交易所)是全球前10的交易所，新用户注册可免费领取空投，每月可得50-200U

点击注册 更多入口

更多交易所入口

一站式注册各大交易所、点击进入加密世界、永不失联，币安Binance/欧易OKX/GATE.IO芝麻开门/Bitget/抹茶MEXC/火币Huobi

点击进入 永不失联

GitHub已经敲响了网络攻击的警钟，该攻击导致数十家组织的私人存储库被未经授权的一方滥用被盗的OAuth用户代币下载。这一事件是在4月12日被发现的，当时代码托管平台在它的npm生产基础设施上发现了可疑活动。
根据GitHub的建议，攻击者使用窃取的AWS API密钥获得了访问权限，而该密钥似乎是在攻击者滥用两个第三方OAuth集成器Heroku或Travis-CI的OAuth代币下载私有npm存储库时获得的。GitHub和许多平台用户使用了由这两个集成商维护的应用程序，Heroku和Travis-CI在4月13日和14日都收到了相关通知，并被要求撤销潜在的OAuth用户代币。（Security Week）