GitHub hücumun təhlilinin nəticələrini dərc edib, bunun nəticəsində aprelin 12-də təcavüzkarlar NPM layihəsinin infrastrukturunda istifadə edilən Amazon AWS xidmətində bulud mühitlərinə giriş əldə ediblər. Hadisənin təhlili göstərdi ki, təcavüzkarlar skiddb.npmjs.com hostunun ehtiyat nüsxələrinə, o cümlədən parol heşləri, adlar və e-poçtlar daxil olmaqla, 100-ci ilə qədər təxminən 2015 NPM istifadəçisinin etimadnaməsi ilə verilənlər bazası ehtiyat nüsxəsinə çıxış əldə ediblər.
Parol heshləri duzlu PBKDF2 və ya SHA1 alqoritmlərindən istifadə edilməklə yaradılmışdır, onlar 2017-ci ildə daha kobud güc bcrypt ilə əvəz edilmişdir. Hadisə müəyyən edildikdən sonra sızan parollar sıfırlanıb və istifadəçilərə yeni parol təyin etmək üçün bildiriş göndərilib. Martın 1-dən etibarən NPM-ə e-poçt təsdiqi ilə məcburi iki faktorlu doğrulama daxil olduğundan, istifadəçi güzəşti riski əhəmiyyətsiz kimi qiymətləndirilir.
Bundan əlavə, 2021-ci ilin aprelinə olan bütün manifest faylları və şəxsi paketlərin metaməlumatları, şəxsi paketlərin bütün adlarının və versiyalarının, eləcə də iki GitHub müştərisinin bütün şəxsi paketlərinin məzmununun (adlar) ən son siyahısı olan CSV faylları açıqlanmır) təcavüzkarların əlinə düşdü. Repozitoriyanın özünə gəldikdə, izlərin təhlili və paket hashlərinin yoxlanılması hücumçuların NPM paketlərində dəyişiklik etdiyini və paketlərin uydurma yeni versiyalarını dərc etdiyini aşkar etməyib.
Hücum aprelin 12-də iki üçüncü tərəf GitHub inteqratoru, Heroku və Travis-CI üçün yaradılan oğurlanmış OAuth tokenlərindən istifadə etməklə həyata keçirilib. Tokenlərdən istifadə edərək təcavüzkarlar şəxsi GitHub repozitoriyalarından NPM layihəsinin infrastrukturunda istifadə olunan Amazon Web Services API-ə daxil olmaq üçün açar çıxara bildilər. Yaranan açar AWS S3 xidmətində saxlanılan məlumatlara giriş imkanı verdi.
Bundan əlavə, NPM serverlərində istifadəçi məlumatlarının emalı zamanı əvvəllər müəyyən edilmiş ciddi məxfilik problemləri barədə məlumatlar açıqlanıb - daxili jurnallarda bəzi NPM istifadəçilərinin parolları, həmçinin NPM-ə giriş nişanları aydın mətndə saxlanılıb. NPM-nin GitHub logging sistemi ilə inteqrasiyası zamanı tərtibatçılar həssas məlumatların NPM xidmətlərinə jurnalda yerləşdirilən sorğulardan kəsilməsini təmin etməyiblər. NPM-ə hücumdan əvvəl qüsurun aradan qaldırıldığı və jurnalların təmizləndiyi iddia edilir. Yalnız bir neçə GitHub əməkdaşının ictimai parolların daxil olduğu qeydlərə girişi var idi.
Mənbə: opennet.ru