GitHub警告私人存儲庫被未經授權方利用OAuth代幣下載

據Security Week報道，GitHub已經敲響了網絡攻擊的警鐘，該攻擊導致數十家組織的私人存儲庫被未經授權的一方濫用被盜的OAuth用戶代幣下載。這一事件是在4月12日被發現的，當時代碼托管平臺在它的npm生產基礎設施上發現了可疑活動。

根據GitHub的建議，攻擊者使用竊取的AWS API密鑰獲得了訪問權限，而該密鑰似乎是在攻擊者濫用兩個第三方OAuth集成器Heroku或Travis-CI的OAuth代幣下載私有npm存儲庫時獲得的。GitHub和許多平臺用戶使用了由這兩個集成商維護的應用程序，Heroku和Travis-CI在4月13日和14日都收到了相關通知，并被要求撤銷潛在的OAuth用戶代幣。