GitHub offentliggjorde resultaterne af analysen af angrebet, hvilket resulterede i, at angribere den 12. april fik adgang til skymiljøer i Amazon AWS-tjenesten, der blev brugt i NPM-projektets infrastruktur. En analyse af hændelsen viste, at angriberne fik adgang til sikkerhedskopier af skimdb.npmjs.com-værten, inklusive en databasesikkerhedskopi med legitimationsoplysninger for cirka 100 NPM-brugere fra 2015, inklusive hash-hash, navne og e-mails med adgangskoder.
Adgangskode-hashene blev oprettet ved hjælp af PBKDF2- eller SHA1-algoritmerne med et salt, som blev erstattet i 2017 med den mere brute force bcrypt. Efter hændelsen blev identificeret, blev de lækkede adgangskoder nulstillet, og der blev sendt en meddelelse til brugerne om at indstille en ny adgangskode. Da NPM har inkluderet obligatorisk to-faktor verifikation med e-mail bekræftelse siden 1. marts, vurderes risikoen for brugerkompromittering som ubetydelig.
Derudover er alle manifestfiler og metadata for private pakker fra april 2021, CSV-filer med en opdateret liste over alle navne og versioner af private pakker, samt indholdet af alle private pakker på to GitHub-klienter (navne) er ikke afsløret) faldt i hænderne på angriberne. Hvad angår selve depotet, afslørede analysen af spor og verifikation af pakkehash ikke, at angriberne lavede ændringer i NPM-pakker og udgav fiktive nye versioner af pakker.
Angrebet blev udført den 12. april ved hjælp af stjålne OAuth-tokens genereret for to tredjeparts GitHub-integratorer, Heroku og Travis-CI. Ved at bruge tokens var angriberne i stand til at udtrække nøglen til at få adgang til Amazon Web Services API fra de private GitHub-lagre, der blev brugt i NPM-projektets infrastruktur. Den resulterende nøgle gav adgang til data gemt i AWS S3-tjenesten.
Derudover blev der afsløret oplysninger om tidligere identificerede alvorlige privatlivsproblemer i behandlingen af brugerdata på NPM-servere - i de interne logfiler blev adgangskoden for nogle NPM-brugere, samt adgangstokens til NPM, gemt i klartekst. Under integrationen af NPM med GitHub log-systemet sikrede udviklerne ikke, at følsomme oplysninger blev skåret ud af anmodninger placeret i loggen til NPM-tjenester. Det hævdes, at fejlen blev rettet, og logfilerne blev ryddet før angrebet på NPM. Adgang til logfilerne, inklusive åbne adgangskoder, havde kun få ansatte hos GitHub.
Kilde: opennet.ru