Bij een aanval in april zijn de privégegevens van 100.000 npm-gebruikers gestolen, waaronder e-mailadressen, wachtwoordhashes en gebruikersnamen. De aanvaller maakte gebruik van OAuth-tokens van Heroku and Travis CI om toegang tot de repositories van npm op GitHub.com te krijgen. Heroku biedt een cloudapplicatieplatform met GitHub-integratie, waarbij programmeurs code die op GitHub staat kunnen uitrollen naar apps die op Heroku draaien.

Ontwikkelaars gebruiken Heroku daarbij als platform voor het uitrollen, beheren en opschalen van applicaties. Voor de communicatie tussen Heroku en GitHub wordt gebruikgemaakt van tokens. Een aanvaller die over een token beschikt kan dezelfde acties uitvoeren als de Heroku-gebruiker en heeft zo ook toegang tot de GitHub-repository van de klant. Door tokens van Heroku te stelen had de aanvaller toegang tot de repositories van tientallen organisaties die een repository op GitHub.com hebben, waaronder npm.

In de repository van npm vond de aanvaller access keys om toegang te krijgen tot npm's infrastructuur die bij Amazon Web Services (AWS) draait. Met de toegang tot de AWS-infrastructuur kon de aanvaller een back-up downloaden met gegevens van 100.000 npm-gebruikers uit 2015. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Het is eigendom van GitHub.

In de back-up stonden wachtwoordhashes, e-mailadressen en gebruikersnamen. De wachtwoordhashes waren gegenereerd met behulp van PBKDF2 of gesalt en gehasht met het sha-1-algoritme. In een verklaring laat GitHub weten dat deze zwakke hashingalgoritmes sinds 2017 niet meer voor het hashen van wachtwoorden worden gebruikt. Wachtwoorden van getroffen gebruikers zijn gereset. Ook zullen die via e-mail worden ingelicht.