نشر GitHub نتائج تحليل الهجوم ، ونتيجة لذلك ، في 12 أبريل ، تمكن المهاجمون من الوصول إلى البيئات السحابية في خدمة Amazon AWS المستخدمة في البنية التحتية لمشروع NPM. أظهر تحليل للحادث أن المهاجمين تمكنوا من الوصول إلى النسخ الاحتياطية لمضيف skimdb.npmjs.com ، بما في ذلك نسخة احتياطية لقاعدة البيانات مع بيانات اعتماد لحوالي 100 مستخدم NPM اعتبارًا من عام 2015 ، بما في ذلك تجزئة كلمات المرور والأسماء ورسائل البريد الإلكتروني.
تم إنشاء تجزئات كلمة المرور باستخدام خوارزميات PBKDF2 أو SHA1 مع الملح ، والتي تم استبدالها في عام 2017 بأداة bcrypt ذات القوة الأكثر وحشية. بعد تحديد الحادث ، تمت إعادة تعيين كلمات المرور المسربة وإرسال إشعار إلى المستخدمين لتعيين كلمة مرور جديدة. نظرًا لأن NPM قد تضمنت التحقق من عاملين إلزاميًا مع تأكيد البريد الإلكتروني منذ 1 مارس ، يتم تقييم خطر اختراق المستخدم على أنه غير مهم.
بالإضافة إلى ذلك ، جميع ملفات البيان والبيانات الوصفية للحزم الخاصة اعتبارًا من أبريل 2021 ، ملفات CSV مع قائمة محدثة بجميع أسماء وإصدارات الحزم الخاصة ، بالإضافة إلى محتويات جميع الحزم الخاصة لعملاء GitHub (الأسماء لم يتم الكشف عنها) وقعت في أيدي المهاجمين. بالنسبة إلى المستودع نفسه ، لم يكشف تحليل التتبعات والتحقق من تجزئة الحزمة عن قيام المهاجمين بإجراء تغييرات على حزم NPM ونشر إصدارات خيالية جديدة من الحزم.
تم تنفيذ الهجوم في 12 أبريل باستخدام رموز OAuth المميزة التي تم إنشاؤها لاثنين من جهات التكامل GitHub التابعة لجهات خارجية ، وهما Heroku و Travis-CI. باستخدام الرموز المميزة ، تمكن المهاجمون من استخراج المفتاح من مستودعات GitHub الخاصة للوصول إلى واجهة برمجة تطبيقات Amazon Web Services المستخدمة في البنية التحتية لمشروع NPM. سمح المفتاح الناتج بالوصول إلى البيانات المخزنة في خدمة AWS S3.
بالإضافة إلى ذلك ، تم الكشف عن معلومات حول مشكلات الخصوصية الخطيرة التي تم تحديدها مسبقًا في معالجة بيانات المستخدم على خوادم NPM - في السجلات الداخلية ، تم تخزين كلمات مرور بعض مستخدمي NPM ، بالإضافة إلى رموز الوصول إلى NPM ، في نص واضح. أثناء تكامل NPM مع نظام تسجيل GitHub ، لم يضمن المطورون حذف المعلومات الحساسة من الطلبات الموضوعة في السجل لخدمات NPM. يُزعم أنه تم إصلاح الخلل وتم إزالة السجلات قبل الهجوم على NPM. الوصول إلى السجلات ، بما في ذلك كلمات المرور المفتوحة ، لم يكن لديه سوى عدد قليل من موظفي GitHub.
المصدر: opennet.ru