Облачный сервис для размещения репозиториев GitHub поделился подробностями о краже OAuth-токенов, необходимых для интеграции GitHub в сторонние сервисы, произошедшей в прошлом месяце. Также злоумышленник смог получить доступ к внутренним данным NPM и информации о его клиентах.
Используя украденные токены пользователей, полученные от двух сторонних интеграторов, Heroku и Travis CI, злоумышленник смог получить доступ к инфраструктуре NPM и ряду файлов.
Злоумышленник получил резервную копии базы данных, включая архив информации о пользователях с 2015 года и все частные манифесты пакетов NPM и метаданные пакетов. Также был украден набор CSV-файлов, включающий архив всех имен и номеров версий опубликованных версий всех частных пакетов NPM.
GitHub предпринимает шаги по сбросу паролей затронутых пользователей. Ожидается, что уже в ближайшие пару дней сервис уведомит затронутых пользователей.