GitHub публикува резултатите от анализа на атаката, в резултат на която на 12 април нападателите получиха достъп до облачни среди в услугата Amazon AWS, използвана в инфраструктурата на проекта NPM. Анализът на инцидента показа, че нападателите са получили достъп до резервни копия на хоста skimdb.npmjs.com, включително резервно копие на база данни с идентификационни данни на приблизително 100 2015 потребители на NPM към XNUMX г., включително хешове на пароли, имена и имейли.
Хешовете на паролите бяха създадени с помощта на алгоритмите PBKDF2 или SHA1 със сол, които бяха заменени през 2017 г. с bcrypt с по-груба сила. След като инцидентът беше идентифициран, изтеклите пароли бяха нулирани и до потребителите беше изпратено известие да зададат нова парола. Тъй като NPM включва задължителна двуфакторна проверка с потвърждение по имейл от 1 март, рискът от компрометиране на потребителите се оценява като незначителен.
В допълнение, всички манифестни файлове и метаданни на частни пакети от април 2021 г., CSV файлове с актуален списък на всички имена и версии на частни пакети, както и съдържанието на всички частни пакети на два GitHub клиента (имена не се разкриват) попаднаха в ръцете на нападателите. Що се отнася до самото хранилище, анализът на следите и проверката на хешове на пакети не разкри нападателите, които правят промени в NPM пакети и публикуват фиктивни нови версии на пакети.
Атаката беше извършена на 12 април с помощта на откраднати OAuth токени, генерирани за два интегратора на GitHub от трети страни, Heroku и Travis-CI. Използвайки токените, нападателите успяха да извлекат от частните хранилища на GitHub ключа за достъп до API на Amazon Web Services, използван в инфраструктурата на проекта NPM. Полученият ключ позволява достъп до данни, съхранявани в услугата AWS S3.
Освен това беше разкрита информация за идентифицирани по-рано сериозни проблеми с поверителността при обработката на потребителски данни на NPM сървъри - във вътрешните регистрационни файлове паролите на някои потребители на NPM, както и токените за достъп до NPM, се съхраняват в чист текст. По време на интегрирането на NPM със системата за регистриране на GitHub, разработчиците не са гарантирали, че чувствителната информация е изрязана от заявките, поставени в журнала към услугите на NPM. Твърди се, че пропускът е бил коригиран и регистрационните файлове са били изчистени преди атаката срещу NPM. Достъп до регистрационните файлове, включително отворени пароли, имаха само няколко служители на GitHub.
Източник: opennet.ru