据称，自2022年4月12日首次发现这一活动以来，威胁者已经从几十个使用上述集成商维护OAuth应用程序的受害组织中访问并窃取数据。据称，很多GitHub用户会使用这些集成商维护的应用程序，包括GitHub本身。GitHub不相信攻击者是通过GitHub或其系统的入侵获得这些令牌的，因为GitHub并没有以原始的可用格式保存令牌。经过调查，参与者可能正在偷偷下载一些私库内容，以获取可以用于其他基础设施的秘密。截至2022年4月15日的已知受影响的OAuth应用程序：HerokuDashboardHerokuDashboardHerokuDashboard–PreviewHerokuDashboard–ClassicTravisCI4月12日，GitHubSecurity发现npm生产基础设施出现未经授权的访问，当时攻击者使用的是一个受损的AWSAPI密钥。根据后续分析，GitHub认为该API密钥是由攻击者在下载一组私有npm库时获得的，攻击者使用了从上述两个受影响的第三方OAuth应用程序之一窃取的OAuth令牌。了解到，在4月13日晚发现第三方OAuth令牌被盗后GitHub便立即采取了行动，撤销了与GitHub和npm内部使用这些被盗应用程序相关的令牌以保护用户数据。