GitHub已经敲响了网络攻击的警钟，该攻击导致数十家组织的私人存储库被未经授权的一方滥用被盗的OAuth用户代币下载。这一事件是在4月12日被发现的，当时代码托管平台在它的npm生产基础设施上发现了可疑活动。根据GitHub的建议，攻击者使用窃取的AWS API密钥获得了访问权限，而该密钥似乎是在攻击者滥用两个第三方OAuth集成器Heroku或Travis-CI的OAuth代币下载私有npm存储库时获得的。GitHub和许多平台用户使用了由这两个集成商维护的应用程序，Heroku和Travis-CI在4月13日和14日都收到了相关通知，并被要求撤销潜在的OAuth用户代币。