GitHub zveřejnil výsledky analýzy útoku, v jehož důsledku útočníci 12. dubna získali přístup do cloudových prostředí ve službě Amazon AWS využívané v infrastruktuře projektu NPM. Analýza incidentu ukázala, že útočníci získali přístup k zálohám hostitele skimdb.npmjs.com, včetně zálohy databáze s přihlašovacími údaji přibližně 100 2015 uživatelů NPM k roku XNUMX, včetně hash hesel, jmen a e-mailů.
Hashe hesel byly vytvořeny pomocí algoritmů PBKDF2 nebo SHA1 se solí, které byly v roce 2017 nahrazeny více hrubou silou bcrypt. Po identifikaci incidentu byla uniklá hesla resetována a uživatelům bylo zasláno upozornění, aby si nastavili heslo nové. Vzhledem k tomu, že NPM od 1. března zahrnuje povinné dvoufaktorové ověření s potvrzením e-mailem, je riziko kompromitace uživatele hodnoceno jako nevýznamné.
Kromě toho všechny soubory manifestu a metadata soukromých balíčků od dubna 2021, soubory CSV s aktuálním seznamem všech názvů a verzí soukromých balíčků a také obsah všech soukromých balíčků dvou klientů GitHub (názvy nejsou zveřejněny) padl do rukou útočníků. Co se týče samotného úložiště, analýza tras a ověřování hašů balíčků neodhalilo, že by útočníci prováděli změny v balíčcích NPM a publikovali fiktivní nové verze balíčků.
Útok byl proveden 12. dubna pomocí ukradených tokenů OAuth vygenerovaných pro dva integrátory GitHub třetích stran, Heroku a Travis-CI. Pomocí tokenů byli útočníci schopni extrahovat ze soukromých úložišť GitHub klíč pro přístup k Amazon Web Services API používanému v infrastruktuře projektu NPM. Výsledný klíč umožnil přístup k datům uloženým ve službě AWS S3.
Kromě toho byly zveřejněny informace o dříve identifikovaných závažných problémech s ochranou soukromí při zpracování uživatelských dat na serverech NPM – v interních protokolech byla hesla některých uživatelů NPM a také přístupové tokeny k NPM uložena jako prostý text. Během integrace NPM s logovacím systémem GitHub vývojáři nezajistili, aby byly citlivé informace vyříznuty z požadavků zadaných v protokolu do služeb NPM. Tvrdí se, že chyba byla opravena a protokoly byly vyčištěny před útokem na NPM. K protokolům, které obsahovaly veřejná hesla, mělo přístup jen několik zaměstnanců GitHubu.
Zdroj: opennet.ru