GitHub で発生した OAuth トークンの悪用:高度な標的型の性質があるという

GitHub Says Recent Attack Involving Stolen OAuth Tokens Was “Highly Targeted”

2022/05/02 TheHackerNews — クラウドベースのコード・ホスティング・プラットフォーム GitHub は、Heroku と Travis-CI に対して発行された OAuth アクセス・トークンの悪用などを含む、最近の攻撃キャンペーンについて高度な標的型の性質があると説明している。GitHub の Mike Hanley は、「この行動パターンは、攻撃者がプライベート・リポジトリのリストアップとダウンロードのために、選択したターゲットのアカウントを特定するために、対象となる組織をリストアップしていたことが示唆される」と述べている。

この、4月12日に発見されたインシデントは、Heroku と Travis-CI というサードパーティ OAuth インテグレータに発行された、OAuth ユーザートークンの悪用に成功した正体不明の攻撃者が、NPM などの数十の組織からデータをダウンロードしたことに関連している。

先週に Microsoft 傘下の GitHub は、Heroku と Travis CI の OAuth アプリ統合を、自身のアカウントで承認していた GitHub ユーザーに対して、問題を通知している最中だと発表した。

GitHub が実施した細部にいたる分析によると、攻撃者は盗んだアプリのトークンを使って GitHub API を認証した後に、標的としていた全てのユーザー組織をリストアップしたことが判明している。その後に、リストアップした組織に基づきターゲットを選択し、重要なユーザー・アカウントのプライベート・リポジトリをリストアップし、最終的に、それらのプライベート・リポジトリのクローン化に成功したという。

また、対象となるトークンは、GitHub などへのシステム侵害により得られたものではないようだ。また、攻撃者に悪用される可能性のあるオリジナルの使用可能な形式で、それらのトークンが保存されていないことも、あらためて説明されている。GitHub は、「Heroku と Travis CI が影響を受けた OAuth アプリケーションについて、最新情報を引き続き監視する必要がある」と指摘している。

この、GitHub におけるインシデントですが、第一方は4月15日の「GitHub でプライベート・リポジトリ侵害:盗み出された OAuth Access Token が原因」でした。その時から、問題の OAuth トークンは、GitHub から盗まれたものではないと言われていましたが、その見立ては変わらないようです。ただし、何処から盗まれたのかには触れられていません。よろしければ、GitHub で検索も、ご利用ください。

%d bloggers like this: