GitHub, 해커가 훔친 OAuth 접근 토큰을 통해 조직 수십 곳 해킹했다고 밝혀

GitHub Says Hackers Breached Dozens of Organizations Using Stolen OAuth Access Tokens

 

클라우드 기반 저장소 호스팅 서비스인 Github가 지난 금요일 한 공격자가 훔친 OAuth 사용자 토큰을 악용해 여러 조직의 개인 데이터를 무단으로 다운로드한 증거를 발견했다고 밝혔습니다.

 

GitHub의 Mike Hanley는 보고서를 통해 아래와 같이 밝혔습니다.

 

"공격자는 NPM을 포함한 조직 수십 곳에서 데이터를 다운로드하기 위해 타사 OAuth 통합업체인 Heroku와 Travis-CI에 발급된 도난 당한 OAuth 사용자 토큰을 악용했습니다.”

 

OAuth 접근 토큰은 앱 및 서비스에서 사용자 데이터의 특정 부분에 대한 접근 권한을 부여하고, 실제 크리덴셜을 공유하지 않고도 서로 통신하는 데 사용됩니다. SSO(Single Sign-On) 서비스에서 다른 애플리케이션으로 권한을 전달하는 데 사용되는 가장 보편적인 방법 중 하나입니다.

 

2022년 4월 15일 기준으로 취약한 OAuth 애플리케이션은 아래와 같습니다.

 

Heroku Dashboard (ID: 145909)

Heroku Dashboard (ID: 628778)

Heroku Dashboard – Preview (ID: 313468)

Heroku Dashboard – Classic (ID: 363831)

Travis CI (ID: 9216)

 

OAuth 토큰은 사용이 가능한 포맷으로 저장이 되지 않기 때문에, GitHub은 GitHub의 시스템이 해킹되어 유출된 것이 아니라고 밝혔습니다.

 

또한 GitHub는 공격자가 이러한 타사 OAuth 앱을 통해 피해자의 기관에서 다운로드한 개인 저장소 콘텐츠를 분석하여 추가적인 기밀 정보를 수집할 수 있다고 경고했습니다.

 

이 플랫폼은 4월 12일 해킹된 AWS API 키를 사용하여 NPM 프로덕션 환경에 대한 무단 침입을 발견해 공격 캠페인의 초기 증거를 발견했다고 밝혔습니다.

 

이 AWS API키는 취약한 OAuth 애플리케이션 두 개 중 하나에서 도난당한 OAuth 토큰을 사용하여 지정되지 않은 프라이빗 NPM 저장소 세트를 다운로드하여 얻은 것으로 추측됩니다. GitHub은 이후 취약한 앱과 관련된 접근 토큰을 폐기했다고 밝혔습니다.

 

또한 GitHub은 "아직까지 공격자가 패키지를 수정하지 않았거나, 사용자 계정 데이터 또는 크리덴셜에 접근하지 않은 것으로 보인다”라 밝히며 공격자가 개인 패키지를 보거나 다운로드했는지 확인하기 위해 여전히 조사 중이라고 덧붙였습니다.

 

그리고 앞으로 72시간 동안 이 사건의 영향을 받을 수 있는 모든 피해자 및 조직을 파악하고 이를 알리기 위한 작업 중이라 밝혔습니다.

 

 

 

 

출처:

https://thehackernews.com/2022/04/github-says-hackers-breach-dozens-of.html

https://github.blog/2022-04-15-security-alert-stolen-oauth-user-tokens/