Gipatik sa GitHub ang mga resulta sa usa ka pag-analisar sa pag-atake, nga resulta sa Abril 12, ang mga tig-atake nakakuha og access sa cloud environment sa Amazon AWS nga serbisyo nga gigamit sa imprastraktura sa NPM project. Ang pag-analisa sa insidente nagpakita nga ang mga tig-atake nakakuha og access sa backup nga mga kopya sa skimdb.npmjs.com host, lakip ang database backup nga adunay mga kredensyal alang sa gibana-bana nga 100 ka libo nga NPM nga mga tiggamit sa 2015, lakip ang password hashes, mga ngalan ug email.
Ang mga hash sa password gihimo gamit ang salted PBKDF2 o SHA1 nga mga algorithm, nga gipulihan sa 2017 sa mas brute force-resistant nga bcrypt. Kung nahibal-an na ang insidente, ang mga apektadong password gi-reset ug ang mga tiggamit gipahibalo nga magbutang usa ka bag-ong password. Tungod kay ang mandatory nga duha ka hinungdan nga pag-verify nga adunay pagkumpirma sa email gilakip sa NPM sukad Marso 1, ang peligro sa pagkompromiso sa tiggamit gibanabana nga dili hinungdanon.
Dugang pa, ang tanan nga makita nga mga file ug metadata sa mga pribado nga pakete sa Abril 2021, ang mga CSV file nga adunay labing bag-ong lista sa tanan nga mga ngalan ug bersyon sa mga pribadong pakete, ingon man ang mga sulud sa tanan nga mga pribado nga pakete sa duha nga mga kliyente sa GitHub (mga ngalan wala gibutyag) nahulog sa mga kamot sa mga tig-atake. Sama sa alang sa repository mismo, ang pag-analisar sa mga pagsubay ug pag-verify sa mga hash sa package wala magpadayag sa mga tig-atake nga naghimo mga pagbag-o sa mga pakete sa NPM o pagmantala sa mga tinumotumo nga bag-ong bersyon sa mga pakete.
Ang pag-atake nahitabo niadtong Abril 12 gamit ang gikawat nga mga token sa OAuth nga gihimo para sa duha ka third-party nga GitHub integrators, Heroku ug Travis-CI. Gamit ang mga token, nakuha sa mga tig-atake gikan sa pribadong mga repositoryo sa GitHub ang yawe sa pag-access sa Amazon Web Services API, nga gigamit sa imprastraktura sa proyekto sa NPM. Ang resulta nga yawe nagtugot sa pag-access sa datos nga gitipigan sa serbisyo sa AWS S3.
Dugang pa, gibutyag ang impormasyon mahitungod sa kaniadto nga giila nga seryoso nga mga problema sa confidentiality sa pagproseso sa data sa user sa NPM servers - ang mga password sa pipila ka NPM users, ingon man ang NPM access tokens, gitipigan sa tin-aw nga teksto sa internal nga mga log. Atol sa integrasyon sa NPM sa GitHub logging system, ang mga developers wala masiguro nga ang sensitibo nga impormasyon gikuha gikan sa mga hangyo ngadto sa NPM nga mga serbisyo nga gibutang sa log. Giingon nga naayo ang sayup ug ang mga troso gilimpyohan sa wala pa ang pag-atake sa NPM. Pipila lang nga mga empleyado sa GitHub ang adunay access sa mga log, nga naglakip sa mga pampublikong password.
Source: opennet.ru