GitHub publikigis la rezultojn de analizo de la atako, rezulte de kiu la 12-an de aprilo, atakantoj akiris aliron al nubaj medioj en la Amazon AWS-servo uzata en la infrastrukturo de la projekto NPM. Analizo de la okazaĵo montris, ke la atakantoj akiris aliron al rezervaj kopioj de la gastiganto skimdb.npmjs.com, inkluzive de datumbaza sekurkopio kun akreditaĵoj por proksimume 100 mil NPM-uzantoj ekde 2015, inkluzive de pasvortaj hashoj, nomoj kaj retpoŝto.
Pasvortaj haŝoj estis kreitaj uzante la salitajn PBKDF2 aŭ SHA1-algoritmojn, kiuj estis anstataŭigitaj en 2017 per la pli krudfort-rezistema bcrypt. Post kiam la okazaĵo estis identigita, la trafitaj pasvortoj estis rekomencigitaj kaj uzantoj estis sciigitaj agordi novan pasvorton. Ĉar deviga dufaktora konfirmo kun retpoŝta konfirmo estis inkluzivita en NPM ekde la 1-a de marto, la risko de uzantkompromiso estas taksita kiel sensignifa.
Krome, ĉiuj manifestdosieroj kaj metadatenoj de privataj pakaĵoj ekde aprilo 2021, CSV-dosieroj kun ĝisdata listo de ĉiuj nomoj kaj versioj de privataj pakaĵoj, same kiel la enhavo de ĉiuj privataj pakaĵoj de du klientoj de GitHub (nomoj). ne estas malkaŝitaj) falis en la manojn de la atakantoj. Koncerne la deponejon mem, analizo de spuroj kaj konfirmo de pakaĵhaŝaĵoj ne malkaŝis, ke atakantoj faras ŝanĝojn al NPM-pakaĵoj aŭ publikigas fikciajn novajn versiojn de pakaĵoj.
La atako okazis la 12-an de aprilo uzante ŝtelitajn OAuth-ĵetonojn generitajn por du triaj GitHub-integrigantoj, Heroku kaj Travis-CI. Uzante la ĵetonojn, la atakantoj povis ĉerpi el privataj GitHub-deponejoj la ŝlosilon por aliri la Amazon Web Services API, uzatan en la NPM-projekta infrastrukturo. La rezulta ŝlosilo permesis aliron al datumoj konservitaj en la AWS S3-servo.
Aldone, informoj estis diskonigitaj pri antaŭe identigitaj gravaj konfidencaj problemoj dum prilaborado de uzantdatenoj sur NPM-serviloj - la pasvortoj de kelkaj NPM-uzantoj, same kiel NPM-alirĵetonoj, estis konservitaj en klara teksto en internaj protokoloj. Dum la integriĝo de NPM kun la registradsistemo GitHub, la programistoj ne certigis, ke sentemaj informoj estis forigitaj de petoj al NPM-servoj metitaj en la protokolon. Estas supozite ke la difekto estis fiksita kaj la tagaloj estis malbaritaj antaŭ la atako sur NPM. Nur certaj GitHub-dungitoj havis aliron al la protokoloj, kiuj inkludis publikajn pasvortojn.
fonto: opennet.ru