GitHub va publicar els resultats de l'anàlisi de l'atac, com a conseqüència del qual, el 12 d'abril, els atacants van accedir als entorns de núvol al servei Amazon AWS utilitzat en la infraestructura del projecte NPM. Una anàlisi de l'incident va mostrar que els atacants van obtenir accés a còpies de seguretat de l'amfitrió skimdb.npmjs.com, inclosa una còpia de seguretat de la base de dades amb credencials d'aproximadament 100 usuaris de NPM a partir del 2015, inclosos els hash de contrasenyes, noms i correus electrònics.
Els hash de contrasenya es van crear mitjançant els algorismes PBKDF2 o SHA1 amb una sal, que es van substituir el 2017 pel bcrypt de força bruta. Després d'identificar l'incident, es van restablir les contrasenyes filtrades i es va enviar una notificació als usuaris per establir una nova contrasenya. Com que NPM ha inclòs la verificació obligatòria de dos factors amb la confirmació per correu electrònic des de l'1 de març, el risc de compromís de l'usuari es considera insignificant.
A més, tots els fitxers de manifest i metadades de paquets privats a partir d'abril de 2021, fitxers CSV amb una llista actualitzada de tots els noms i versions de paquets privats, així com el contingut de tots els paquets privats de dos clients de GitHub (noms no es revelen) va caure en mans dels atacants. Pel que fa al propi dipòsit, l'anàlisi de traces i verificació dels hash de paquets no va revelar que els atacants feien canvis als paquets NPM i publiquen noves versions fictícias de paquets.
L'atac es va dur a terme el 12 d'abril mitjançant fitxes OAuth robades generades per a dos integradors de GitHub de tercers, Heroku i Travis-CI. Mitjançant els testimonis, els atacants van poder extreure dels dipòsits privats de GitHub la clau per accedir a l'API d'Amazon Web Services utilitzada a la infraestructura del projecte NPM. La clau resultant va permetre l'accés a les dades emmagatzemades al servei AWS S3.
A més, es va revelar informació sobre problemes greus de privadesa identificats anteriorment en el processament de dades d'usuari als servidors de NPM: als registres interns, les contrasenyes d'alguns usuaris de NPM, així com els testimonis d'accés a NPM, es van emmagatzemar en text clar. Durant la integració de NPM amb el sistema de registre de GitHub, els desenvolupadors no s'asseguraven que la informació confidencial es retirés de les sol·licituds col·locades al registre als serveis de NPM. S'afirma que la fallada es va solucionar i es van netejar els troncs abans de l'atac a NPM. L'accés als registres, incloses les contrasenyes obertes, només tenia uns quants empleats de GitHub.
Font: opennet.ru