GitHub julkaisi hyökkäyksen analyysin tulokset, jonka tuloksena hyökkääjät pääsivät 12. huhtikuuta NPM-projektin infrastruktuurissa käytetyn Amazon AWS -palvelun pilviympäristöihin. Tapahtuman analyysi osoitti, että hyökkääjät pääsivät käyttämään skimdb.npmjs.com-isännän varmuuskopioita, mukaan lukien tietokannan varmuuskopio, jossa oli noin 100 tuhannen NPM-käyttäjän tunnistetiedot vuodesta 2015 lähtien, mukaan lukien salasanatiivisteet, nimet ja sähköpostit.
Salasanatiivisteet luotiin suolatuilla PBKDF2- tai SHA1-algoritmeilla, jotka korvattiin vuonna 2017 raa'alla voimalla kestävämmällä bcryptillä. Kun tapaus oli tunnistettu, ongelman kohteena olevat salasanat nollattiin ja käyttäjiä kehotettiin asettamaan uusi salasana. Koska pakollinen kaksivaiheinen vahvistus sähköpostivahvistuksella on sisällytetty NPM:ään 1. maaliskuuta lähtien, käyttäjän vaarantumisen riskiä arvioidaan merkityksettömäksi.
Lisäksi kaikki yksityisten pakettien luettelotiedostot ja metatiedot huhtikuusta 2021 alkaen, CSV-tiedostot, joissa on ajan tasalla oleva luettelo yksityisten pakettien kaikista nimistä ja versioista, sekä kahden GitHub-asiakkaan (nimet) yksityisten pakettien sisällöt ei julkistettu) joutui hyökkääjien käsiin. Mitä tulee itse tietovarastoon, jälkien analysointi ja pakettien tiivisteiden tarkistaminen eivät paljastaneet, että hyökkääjät tekivät muutoksia NPM-paketteihin tai julkaisivat kuvitteellisia uusia versioita paketeista.
Hyökkäys tapahtui 12. huhtikuuta kahdelle kolmannen osapuolen GitHub-integraattorille, Herokulle ja Travis-CI:lle, luotuilla varastetuilla OAuth-tunnuksilla. Tunnuksia käyttämällä hyökkääjät pystyivät poimimaan yksityisistä GitHub-tietovarastoista avaimen NPM-projektin infrastruktuurissa käytettävään Amazon Web Services API:hen. Tuloksena oleva avain salli pääsyn AWS S3 -palveluun tallennettuihin tietoihin.
Lisäksi paljastettiin tietoja aiemmin havaituista vakavista luottamuksellisuusongelmista käsiteltäessä käyttäjätietoja NPM-palvelimilla - joidenkin NPM-käyttäjien salasanat sekä NPM-käyttötunnukset tallennettiin selkeänä tekstinä sisäisiin lokeihin. Kun NPM integroitiin GitHub-lokijärjestelmään, kehittäjät eivät varmistaneet, että arkaluontoiset tiedot poistetaan lokiin sijoitetuista NPM-palveluita koskevista pyynnöistä. Väitetään, että virhe korjattiin ja lokit siivottiin ennen hyökkäystä NPM:ää vastaan. Vain tietyillä GitHubin työntekijöillä oli pääsy lokeihin, jotka sisälsivät julkisia salasanoja.
Lähde: opennet.ru