IT之家 4月16日消息，GitHub 官方今日发公告，GitHub Security 在4月12日发现有攻击者利用被盗的 OAuth 用户令牌（原属于 Heroku 和 Travis-CI 两家第三方集成商），从私人仓库下载数据。

据称，自2022年4月12日首次发现这一活动以来，威胁者已经从几十个使用上述集成商维护 OAuth 应用程序（包括 npm）的受害组织中访问并窃取数据。

据称，很多 GitHub 用户会使用这些集成商维护的应用程序，包括 GitHub 本身。

GitHub 不相信攻击者是通过 GitHub 或其系统的入侵获得这些令牌的，因为 GitHub 并没有以原始的可用格式保存令牌。经过调查，参与者可能正在偷偷下载一些私库内容，以获取可以用于其他基础设施的秘密。

截至2022年4月15日的已知受影响的 OAuth 应用程序：

Heroku Dashboard （ID： 145909）

Heroku Dashboard （ID： 628778）

Heroku Dashboard – Preview （ID： 313468）

Heroku Dashboard – Classic （ID： 363831）

Travis CI （ID： 9216）

4月12日，GitHub Security 发现 npm 生产基础设施出现未经授权的访问，当时攻击者使用的是一个受损的 AWS API 密钥。

根据后续分析，GitHub 认为该 API 密钥是由攻击者在下载一组私有 npm 库时获得的，攻击者使用了从上述两个受影响的第三方 OAuth 应用程序之一窃取的 OAuth 令牌。

IT之家了解到，在4月13日晚发现第三方 OAuth 令牌被盗后 GitHub 便立即采取了行动，撤销了与 GitHub 和 npm 内部使用这些被盗应用程序相关的令牌以保护用户数据。