GitHub：近10万名 NPM 用户的凭据在 4 月的 OAuth 令牌攻击中被盗

据外媒报道，GitHub 提供了有关 4 月份发生的事件的详细信息，近10万名 NPM 用户的凭据在 4 月的 OAuth 令牌攻击中被盗。攻击者滥用发给两个第三方 OAuth 集成商 Heroku 和 Travis-CI 的被盗 OAuth 用户令牌，从包括npm在内的数十个组织下载数据。目前，公司提供了有关此事件的更新，攻击者能够升级对 npm 基础设施的访问，并访问从 npm 云存储中窃取相关文件。