GitHub a publié les résultats d'une analyse de l'attaque, à la suite de laquelle le 12 avril, les attaquants ont accédé aux environnements cloud du service Amazon AWS utilisé dans l'infrastructure du projet NPM. L'analyse de l'incident a montré que les attaquants ont eu accès à des copies de sauvegarde de l'hôte skimdb.npmjs.com, y compris une sauvegarde de base de données avec les informations d'identification d'environ 100 2015 utilisateurs NPM en XNUMX, y compris les hachages de mots de passe, les noms et les adresses e-mail.
Les hachages de mots de passe ont été créés à l'aide des algorithmes salés PBKDF2 ou SHA1, qui ont été remplacés en 2017 par le bcrypt plus résistant à la force brute. Une fois l'incident identifié, les mots de passe concernés ont été réinitialisés et les utilisateurs ont été invités à définir un nouveau mot de passe. Étant donné que la vérification obligatoire à deux facteurs avec confirmation par courrier électronique est incluse dans NPM depuis le 1er mars, le risque de compromission des utilisateurs est jugé insignifiant.
De plus, tous les fichiers manifestes et métadonnées des packages privés à compter d'avril 2021, les fichiers CSV avec une liste à jour de tous les noms et versions des packages privés, ainsi que le contenu de tous les packages privés de deux clients GitHub (noms ne sont pas divulgués) sont tombés entre les mains des assaillants. Quant au référentiel lui-même, l’analyse des traces et la vérification des hachages des packages n’ont pas révélé que les attaquants apportaient des modifications aux packages NPM ou publiaient de nouvelles versions fictives des packages.
L'attaque a eu lieu le 12 avril à l'aide de jetons OAuth volés générés pour deux intégrateurs GitHub tiers, Heroku et Travis-CI. Grâce aux jetons, les attaquants ont pu extraire des référentiels privés GitHub la clé d'accès à l'API Amazon Web Services, utilisée dans l'infrastructure du projet NPM. La clé résultante permettait d'accéder aux données stockées dans le service AWS S3.
De plus, des informations ont été divulguées sur de graves problèmes de confidentialité précédemment identifiés lors du traitement des données utilisateur sur les serveurs NPM - les mots de passe de certains utilisateurs NPM, ainsi que les jetons d'accès NPM, étaient stockés en texte clair dans les journaux internes. Lors de l'intégration de NPM avec le système de journalisation GitHub, les développeurs n'ont pas veillé à ce que les informations sensibles soient supprimées des demandes adressées aux services NPM placées dans le journal. Il est allégué que la faille a été corrigée et que les journaux ont été effacés avant l'attaque contre NPM. Seuls certains employés de GitHub avaient accès aux journaux, qui comprenaient des mots de passe publics.
Source: opennet.ru