攻击者利用被盗的OAuth令牌，窃取数十个组织的数据

据GitHub近日透露，4月12日，攻击者使用Heroku 和 Travis-CI 两家第三方集成商维护的 OAuth 应用程序（包括 npm），访问并窃取了数十个组织的数据。GitHub首席安全官 (CSO) Mike Hanley 表示，这些集成商维护的应用程序会被 GitHub 用户使用，也包括 GitHub 本身。

Mike Hanley 称，“我们不相信攻击者是通过破坏GitHub或其系统来获得这些令牌的，因为GitHub没有以原始的可用格式存储这些令牌。我们对威胁行为者的其他行为的分析表明，行为者可能正在挖掘被盗的OAuth令牌所能访问的下载的私有仓库内容，以寻找可用于渗透其他基础设施的秘密”。

受影响的OAuth应用程序的列表包括：

Heroku Dashboard（ID：145909）

Heroku Dashboard (ID: 628778)

Heroku Dashboard – Preview (ID: 313468)

Heroku Dashboard – Classic (ID: 363831)

Travis CI (ID: 9216)

网络攻击者正使用被盗的 OAuth 用户令牌从其私有存储库下载数据

4月12日，GitHub安全部门发现了对GitHub的npm生产基础设施的未经授权的访问，因为攻击者使用了一个被泄露的AWS API密钥。攻击者很可能是在使用偷来的OAuth令牌下载了多个私有npm仓库后获得了该API密钥。

4月13日，在发现第三方 OAuth 令牌被盗窃后，GitHub已立即采取行动，通过撤销与 GitHub 相关令牌和 npm 对这些受感染应用程序的内部使用来保护数据。

GitHub的私人存储库未受影响

在这一次的攻击事件中，没有一个软件包被修改，也没有用户账户数据或凭据被访问。Hanley认为，GitHub在这次原始攻击中没有受到影响。目前，仍在继续调查该攻击事件，GitHub已经通知所有受影响的用户和组织，并且采取相应的网络安全防护手段，保护用户和客户的数据信息安全。