GitHub hat Daten zu einem Einbruch in die NPM-Infrastruktur und die Entdeckung offener Passwörter in Protokollen veröffentlicht

Das Unternehmen GitHub hat die Ergebnisse der Analyse eines Angriffs veröffentlicht, bei dem am 12. April Angreifer Zugriff auf die Cloud-Umgebungen im Amazon AWS-Dienst erhielten, die in der Infrastruktur des NPM-Projekts verwendet werden. Die Untersuchung des Vorfalls zeigte, dass die Angreifer Zugriff auf Sicherungskopien des Hosts skimdb.npmjs.com erhielten, einschließlich einer Backup-Datenbank mit den Anmeldedaten von rund 100.000 NPM-Nutzern, die bis 2015 zurückreichen und Passwort-Hashes, Namen und E-Mail-Adressen enthalten.

Die Passwort-Hashes wurden mit den Algorithmen PBKDF2 oder SHA1 unter Verwendung von Salt erstellt, die 2017 durch den widerstandsfähigeren bcrypt-Algorithmus ersetzt wurden. Nach der Identifizierung des Vorfalls wurden die betroffenen Passwortlecks zurückgesetzt, und den Nutzern wurde eine Benachrichtigung über die Notwendigkeit geschickt, ein neues Passwort zu setzen. Da seit dem 1. März in NPM eine verpflichtende Zwei-Faktor-Authentifizierung mit E-Mail-Bestätigung eingeführt wurde, wird das Risiko einer Kompromittierung der Nutzer als gering eingeschätzt.

Zudem gelangten die Angreifer in den Besitz aller Manifest-Dateien und Metadaten privater Pakete, die bis April 2021 aktualisiert wurden, sowie CSV-Dateien mit der aktuellen Liste aller Namen und Versionen privater Pakete. Außerdem wurden die Inhalte aller privaten Pakete von zwei GitHub-Kunden offenbart (Namen werden nicht genannt). Bei der Analyse des Repositories und der Verifizierung der Hashes der Pakete konnte jedoch kein Hinweis darauf gefunden werden, dass die Angreifer Änderungen an den NPM-Paketen vorgenommen oder gefälschte neue Versionen veröffentlicht haben.

Der Angriff fand am 12. April statt und nutzte gestohlene OAuth-Token, die für zwei Drittanbieter-GitHub-Integratoren – Heroku und Travis-CI – generiert wurden. Durch den Einsatz dieser Tokens waren die Angreifer in der Lage, aus privaten GitHub-Repositories einen Schlüssel für den Zugriff auf die API von Amazon Web Services zu extrahieren, der in der Infrastruktur des NPM-Projekts verwendet wurde. Der erlangte Schlüssel ermöglichte den Zugriff auf Daten, die im AWS S3-Service gespeichert sind.

Zusätzlich wurden Informationen über zuvor identifizierte schwerwiegende Probleme mit dem Datenschutz bei der Verarbeitung von Benutzerdaten veröffentlicht. Servern NPM – In den internen Logs wurden Passwörter einiger NPM-Nutzer sowie Zugriffstoken in unverschlüsselter Form gespeichert. Bei der Integration von NPM in das Logging-System von GitHub haben die Entwickler versäumt, sensible Informationen aus den in die Logs aufgenommenen Anfragen an die NPM-Dienste zu entfernen. Es wird behauptet, dass dieser Fehler behoben wurde und die Logs noch vor dem Angriff auf NPM bereinigt wurden. Nur ausgewählte Mitarbeiter von GitHub hatten Zugriff auf die Logs mit den offenen Passwörtern.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster