GitHub የጥቃቱን ትንታኔ ውጤቶች አሳትሟል፣ በዚህ ምክንያት ሚያዝያ 12 አጥቂዎች በ NPM ፕሮጀክት መሠረተ ልማት ውስጥ ጥቅም ላይ በሚውለው Amazon AWS አገልግሎት ውስጥ የደመና አካባቢዎችን ማግኘት ችለዋል። የክስተቱ ትንተና እንደሚያሳየው አጥቂዎቹ የskimdb.npmjs.com አስተናጋጅ የመጠባበቂያ ቅጂዎችን ማግኘት ችለዋል፣ እ.ኤ.አ. እስከ 100 ድረስ ለ2015 ሺህ የሚጠጉ NPM ተጠቃሚዎች የመረጃ ቋት የውሂብ ጎታ መጠባበቂያ፣ የይለፍ ቃል ሃሽ፣ ስሞች እና ኢሜል ጨምሮ።
የይለፍ ቃል ሃሽ የተፈጠሩት በ2 ጨዋማ በሆነው PBKDF1 ወይም SHA2017 ስልተ ቀመሮችን በመጠቀም ነው። ክስተቱ ከታወቀ በኋላ የተጎዱት የይለፍ ቃሎች እንደገና ተጀምረዋል እና ተጠቃሚዎች አዲስ የይለፍ ቃል እንዲያዘጋጁ ማሳወቂያ ተደርገዋል። ከማርች 1 ጀምሮ የግዴታ ባለሁለት ደረጃ ማረጋገጫ በኢሜል ማረጋገጫ በNPM ውስጥ የተካተተ በመሆኑ የተጠቃሚው ስምምነት ስጋት ቀላል እንዳልሆነ ይገመገማል።
በተጨማሪም፣ ከኤፕሪል 2021 ጀምሮ ሁሉም የግል ጥቅሎች አንጸባራቂ ፋይሎች እና ሜታዳታ፣ CSV የዘመኑ የሁሉም ስሞች እና የግል ጥቅሎች ስሪቶች እንዲሁም የሁለት GitHub ደንበኞች የግል ፓኬጆች ይዘቶች (ስሞች) አልተገለጹም) በአጥቂዎች እጅ ወድቀዋል። ስለ ማከማቻው ራሱ፣ የዱካዎች ትንተና እና የጥቅል ሃሽ ማረጋገጫ አጥቂዎቹ በNPM ፓኬጆች ላይ ለውጦችን ሲያደርጉ ወይም አዳዲስ የፓኬጆች ስሪቶችን እንዳሳተሙ አላሳየም።
ጥቃቱ የተፈጸመው ኤፕሪል 12 ላይ ለሁለት የሶስተኛ ወገን GitHub integrators Heroku እና Travis-CI የተሰረቁ የOAuth ቶከኖችን በመጠቀም ነው። ቶከኖቹን በመጠቀም አጥቂዎቹ በNPM የፕሮጀክት መሠረተ ልማት ውስጥ ጥቅም ላይ የዋለውን የአማዞን ድር አገልግሎቶች ኤፒአይን ለመድረስ ከግል የ GitHub ማከማቻዎች ማውጣት ችለዋል። የተገኘው ቁልፍ በAWS S3 አገልግሎት ውስጥ የተከማቸ ውሂብ እንዲደርስ ፈቅዷል።
በተጨማሪም የተጠቃሚ ውሂብን በNPM አገልጋዮች ላይ በሚሰራበት ጊዜ ቀደም ሲል ስለተታወቁ ከባድ ሚስጥራዊ ችግሮች መረጃ ተገለጠ - የአንዳንድ NPM ተጠቃሚዎች የይለፍ ቃሎች እና የ NPM መዳረሻ ቶከኖች በውስጣዊ ምዝግብ ማስታወሻዎች ውስጥ ግልጽ በሆነ ጽሑፍ ውስጥ ተከማችተዋል። NPM ከ GitHub የምዝግብ ማስታወሻ ስርዓት ጋር ሲዋሃድ፣ ገንቢዎቹ ሚስጥራዊነት ያለው መረጃ በምዝግብ ማስታወሻው ውስጥ ከተቀመጡት የNPM አገልግሎቶች ጥያቄዎች መወገዱን አላረጋገጡም። በ NPM ላይ ከጥቃቱ በፊት ስህተቱ ተስተካክሎ እና ምዝግቦቹ ተጠርገው ነበር ተብሏል። የተወሰኑ የ GitHub ሰራተኞች ብቻ የህዝብ የይለፍ ቃሎችን ያካተቱ መዝገቦችን ማግኘት ችለዋል።
ምንጭ: opennet.ru