GitHub hà publicatu i risultati di l'analisi di l'attaccu, cum'è u risultatu di u 12 d'aprile, l'attaccanti anu accessu à l'ambienti di nuvola in u serviziu Amazon AWS utilizatu in l'infrastruttura di u prughjettu NPM. L'analisi di l'incidentu hà dimustratu chì l'attaccanti anu accessu à copie di salvezza di l'ospiti skimdb.npmjs.com, cumpresa una copia di salvezza di basa di dati cù credenziali per circa 100 mila utilizatori NPM da 2015, cumprese password hash, nomi è email.
L'hash di password sò stati creati cù l'algoritmi salati PBKDF2 o SHA1, chì sò stati rimpiazzati in 2017 da u bcrypt più resistente à a forza bruta. Una volta chì l'incidentu hè statu identificatu, i password affettati sò stati resettati è l'utilizatori sò stati avvisati per stabilisce una nova password. Siccomu a verificazione obligatoria di dui fattori cù cunferma di email hè stata inclusa in NPM da u 1 di marzu, u risicu di cumprumissu di l'utilizatori hè valutatu cum'è insignificante.
Inoltre, tutti i fugliali manifesti è i metadati di i pacchetti privati da aprile 2021, i fugliali CSV cù una lista aghjurnata di tutti i nomi è e versioni di i pacchetti privati, è ancu u cuntenutu di tutti i pacchetti privati di dui clienti GitHub (nomi ùn sò micca divulgati) hè cascatu in manu di l'attaccanti. In quantu à u repositoriu stessu, l'analisi di e tracce è a verificazione di l'hash di u pacchettu ùn anu micca revelatu l'attaccanti chì facenu cambiamenti à i pacchetti NPM o publicendu novi versioni fittizie di pacchetti.
L'attaccu hè accadutu u 12 d'aprile utilizendu tokens OAuth arrubati generati per dui integratori GitHub di terzu, Heroku è Travis-CI. Utilizendu i tokens, l'attaccanti anu sappiutu estrattà da i repositori privati di GitHub a chjave per accede à l'API Amazon Web Services, utilizata in l'infrastruttura di prughjettu NPM. A chjave risultante hà permessu l'accessu à i dati almacenati in u serviziu AWS S3.
Inoltre, l'infurmazione hè stata divulgata nantu à i prublemi di cunfidenzialità serii identificati prima durante u processu di dati di l'utilizatori nantu à i servitori NPM - e password di alcuni utilizatori NPM, è ancu i tokens d'accessu NPM, sò stati guardati in testu chjaru in logs interni. Durante l'integrazione di NPM cù u sistema di logu di GitHub, i sviluppatori ùn anu micca assicuratu chì l'infurmazioni sensibili sò stati sguassati da e dumande à i servizii NPM posti in u log. Si dice chì u difettu hè stata riparata è i ghjurnali sò stati sbulicati prima di l'attaccu à NPM. Solu certi impiegati di GitHub avianu accessu à i logs, chì includenu password publiche.
Source: opennet.ru