4 月 16 日訊息，GitHub 官方今日發公告，GitHub Security 在 4 月 12 日發現有攻擊者利用被盜的 OAuth 使用者令牌（原屬於 Heroku 和 Travis-CI 兩家第三方整合商），從私人倉庫下載資料。

據稱，自 2022 年 4 月 12 日首次發現這一活動以來，威脅者已經從幾十個使用上述整合商維護 OAuth 應用程式（包括 npm）的受害組織中訪問並竊取資料。

據稱，很多 GitHub 使用者會使用這些整合商維護的應用程式，包括 GitHub 本身。

GitHub不相信攻擊者是通過 GitHub 或其系統的入侵獲得這些令牌的，因為 GitHub 並沒有以原始的可用格式儲存令牌。經過調查，參與者可能正在偷偷下載一些私庫內容，以獲取可以用於其他基礎設施的祕密。

截至 2022 年 4 月 15 日的已知受影響的 OAuth 應用程式：

• Heroku Dashboard （ID： 145909）

• Heroku Dashboard （ID： 628778）

• Heroku Dashboard – Preview （ID： 313468）

• Heroku Dashboard – Classic （ID： 363831）

• Travis CI （ID： 9216）

4 月 12 日，GitHub Security 發現 npm 生產基礎設施出現未經授權的訪問，當時攻擊者使用的是一個受損的 AWS API 金鑰。

根據後續分析，GitHub認為該 API 金鑰是由攻擊者在下載一組私有 npm 庫時獲得的，攻擊者使用了從上述兩個受影響的第三方 OAuth 應用程式之一竊取的 OAuth 令牌。

瞭解到，在 4 月 13 日晚發現第三方 OAuth 令牌被盜後 GitHub 便立即採取了行動，撤銷了與 GitHub 和 npm 內部使用這些被盜應用程式相關的令牌以保護使用者資料。