Το GitHub δημοσίευσε τα αποτελέσματα της ανάλυσης της επίθεσης, ως αποτέλεσμα της οποίας, στις 12 Απριλίου, οι εισβολείς απέκτησαν πρόσβαση σε περιβάλλοντα cloud στην υπηρεσία Amazon AWS που χρησιμοποιείται στην υποδομή του έργου NPM. Μια ανάλυση του περιστατικού έδειξε ότι οι εισβολείς απέκτησαν πρόσβαση σε αντίγραφα ασφαλείας του κεντρικού υπολογιστή skimdb.npmjs.com, συμπεριλαμβανομένου ενός αντιγράφου ασφαλείας βάσης δεδομένων με διαπιστευτήρια περίπου 100 χρηστών NPM από το 2015, συμπεριλαμβανομένων κατακερματισμών κωδικών πρόσβασης, ονομάτων και μηνυμάτων ηλεκτρονικού ταχυδρομείου.
Οι κατακερματισμοί κωδικών πρόσβασης δημιουργήθηκαν χρησιμοποιώντας τους αλγόριθμους PBKDF2 ή SHA1 με αλάτι, οι οποίοι αντικαταστάθηκαν το 2017 με την πιο ωμή δύναμη bcrypt. Μετά τον εντοπισμό του συμβάντος, οι κωδικοί πρόσβασης που διέρρευσαν επαναφέρθηκαν και εστάλη ειδοποίηση στους χρήστες για να ορίσουν νέο κωδικό πρόσβασης. Δεδομένου ότι το NPM έχει συμπεριλάβει την υποχρεωτική επαλήθευση δύο παραγόντων με επιβεβαίωση μέσω email από την 1η Μαρτίου, ο κίνδυνος παραβίασης του χρήστη εκτιμάται ως ασήμαντος.
Επιπλέον, όλα τα αρχεία δήλωσης και τα μεταδεδομένα ιδιωτικών πακέτων από τον Απρίλιο του 2021, τα αρχεία CSV με μια ενημερωμένη λίστα με όλα τα ονόματα και τις εκδόσεις των ιδιωτικών πακέτων, καθώς και τα περιεχόμενα όλων των ιδιωτικών πακέτων δύο πελατών GitHub (ονόματα δεν αποκαλύπτονται) έπεσε στα χέρια των επιτιθέμενων. Όσον αφορά το ίδιο το αποθετήριο, η ανάλυση των ιχνών και η επαλήθευση των κατακερματισμών πακέτων δεν αποκάλυψε τους εισβολείς που έκαναν αλλαγές στα πακέτα NPM και δημοσίευσαν πλασματικές νέες εκδόσεις πακέτων.
Η επίθεση πραγματοποιήθηκε στις 12 Απριλίου χρησιμοποιώντας κλεμμένα διακριτικά OAuth που δημιουργήθηκαν για δύο τρίτους ενσωματωτές GitHub, τον Heroku και τον Travis-CI. Χρησιμοποιώντας τα διακριτικά, οι εισβολείς μπόρεσαν να εξαγάγουν από τα ιδιωτικά αποθετήρια GitHub το κλειδί για πρόσβαση στο Amazon Web Services API που χρησιμοποιείται στην υποδομή του έργου NPM. Το κλειδί που προέκυψε επέτρεψε την πρόσβαση σε δεδομένα που ήταν αποθηκευμένα στην υπηρεσία AWS S3.
Επιπλέον, αποκαλύφθηκαν πληροφορίες σχετικά με σοβαρά προβλήματα απορρήτου που είχαν εντοπιστεί προηγουμένως στην επεξεργασία δεδομένων χρήστη σε διακομιστές NPM - στα εσωτερικά αρχεία καταγραφής, οι κωδικοί πρόσβασης ορισμένων χρηστών NPM, καθώς και τα διακριτικά πρόσβασης στο NPM, αποθηκεύτηκαν σε καθαρό κείμενο. Κατά την ενσωμάτωση του NPM με το σύστημα καταγραφής GitHub, οι προγραμματιστές δεν διασφάλισαν ότι οι ευαίσθητες πληροφορίες αποκόπηκαν από αιτήματα που είχαν τοποθετηθεί στο αρχείο καταγραφής προς υπηρεσίες NPM. Υποστηρίζεται ότι το ελάττωμα διορθώθηκε και τα αρχεία καταγραφής εκκαθαρίστηκαν πριν από την επίθεση στο NPM. Πρόσβαση στα αρχεία καταγραφής, συμπεριλαμβανομένων των ανοιχτών κωδικών πρόσβασης, είχαν μόνο λίγοι υπάλληλοι του GitHub.
Πηγή: opennet.ru