GitHub je objavio rezultate analize napada, usljed čega su 12. aprila napadači dobili pristup cloud okruženjima u Amazon AWS servisu koji se koristi u infrastrukturi NPM projekta. Analiza incidenta pokazala je da su napadači dobili pristup rezervnim kopijama hosta skimdb.npmjs.com, uključujući rezervnu kopiju baze podataka sa vjerodajnicama za približno 100 hiljada NPM korisnika od 2015. godine, uključujući hešove lozinki, imena i e-poštu.
Hešovi lozinki kreirani su korištenjem slanih PBKDF2 ili SHA1 algoritama, koji su 2017. zamijenjeni bcrypt otpornijim na grubu silu. Nakon što je incident identificiran, lozinke su resetirane i korisnici su obaviješteni da postave novu lozinku. Budući da je od 1. marta u NPM uključena obavezna dvofaktorska verifikacija sa potvrdom putem e-pošte, rizik od kompromitovanja korisnika se ocenjuje kao beznačajan.
Pored toga, svi manifest fajlovi i metapodaci privatnih paketa od aprila 2021., CSV fajlovi sa ažurnom listom svih imena i verzija privatnih paketa, kao i sadržaj svih privatnih paketa dva GitHub klijenta (imena nisu otkriveni) pao u ruke napadača. Što se samog repozitorija tiče, analiza tragova i verifikacija heševa paketa nije otkrila da napadači menjaju NPM pakete ili objavljuju fiktivne nove verzije paketa.
Napad se dogodio 12. aprila korištenjem ukradenih OAuth tokena generiranih za dva GitHub integratora treće strane, Heroku i Travis-CI. Koristeći tokene, napadači su uspjeli izvući iz privatnih GitHub spremišta ključ za pristup Amazon Web Services API-ju, koji se koristi u infrastrukturi NPM projekta. Rezultirajući ključ je omogućio pristup podacima pohranjenim u AWS S3 servisu.
Dodatno, objelodanjene su informacije o ranije identifikovanim ozbiljnim problemima povjerljivosti prilikom obrade korisničkih podataka na NPM serverima - lozinke nekih NPM korisnika, kao i tokeni za NPM pristup, pohranjeni su u čistom tekstu u internim logovima. Tokom integracije NPM-a sa GitHub sistemom za evidentiranje, programeri nisu osigurali da osjetljive informacije budu uklonjene iz zahtjeva prema NPM servisima koji se nalaze u dnevniku. Navodi se da je kvar otklonjen i da su trupci očišćeni prije napada na NPM. Samo su određeni zaposlenici GitHuba imali pristup evidenciji, koja je uključivala javne lozinke.
izvor: opennet.ru