GitHub OAuth Token 被盗，近 10 万 NPM 用户受影响

关键要点

• 大约 100,000 名 GitHub 用户的 NPM 凭证和电子邮件地址被泄露。
• 攻击者利用被盗的 OAuth 令牌访问 NPM 私有包的名称和版本信息。
• GitHub 确认攻击者并未改变已发布的包，也没有上传新版本。

近期，The Hacker News 报导称，近 100,000 名

用户的 NPM 用户名、密码以及电子邮件地址因上个月 GitHub 的 OAuth 令牌被盗而受到影响。根据 GitHub 的说明，攻击者还利用这些被盗的
OAuth 令牌获取了包含截至 4 月 10 日的所有 NPM 私有包名称和版本号的 CSV 文件，以及来自两个组织的一些私有包数据。

这些入侵行为是通过 OAuth 令牌的利用实现的，攻击者获取了私有 NPM 存储库的数据。随后，他们使用被盗的 AWS 访问密钥 infiltrate了注册中心的基础设施。不过，GitHub 指出，攻击者并没有修改任何已发布的包，亦没有新增现有包的版本。GitHub表示，这次“高度针对性”的攻击只是为了列出组织和识别账户，以便选择性地对私有存储库进行列出和下载。

这种攻击方式提醒用户务必保持警惕并定期更新他们的凭证。同时，建议企业加强对 OAuth 令牌的保护措施，以降低潜在风险。

对于 GitHub 用户而言，确保帐号安全需采取以下措施：

安全措施 | 描述
—|—
定期更换密码 | 确保使用强密码并定期更新。
启用双重身份验证 | 增加额外的保护层，防止未经授权的访问。
审查 OAuth 权限 | 定期检查和撤销不必要的 OAuth 应用程序权限。

总之，用户应对安全保持高度警惕，确保自己的账户不被恶意攻击者获取。