GitHub publisearre de resultaten fan in analyze fan 'e oanfal, as gefolch wêrfan op 12 april oanfallers tagong krigen ta wolkomjouwings yn' e Amazon AWS-tsjinst brûkt yn 'e ynfrastruktuer fan it NPM-projekt. Analyse fan it ynsidint liet sjen dat de oanfallers tagong krigen ta reservekopyen fan 'e skimdb.npmjs.com-host, ynklusyf in database-backup mei referinsjes foar sawat 100 tûzen NPM-brûkers fanôf 2015, ynklusyf wachtwurdhashes, nammen en e-post.
Wachtwurd hashes waarden makke mei de sâlte PBKDF2 of SHA1 algoritmen, dy't waarden ferfongen yn 2017 troch de mear brute krêft-resistant bcrypt. Sadree't it ynsidint waard identifisearre, de troffen wachtwurden waarden reset en brûkers waarden op 'e hichte om in nij wachtwurd yn te stellen. Sûnt ferplichte twa-faktor-ferifikaasje mei e-postbefêstiging is opnommen yn NPM sûnt 1 maart, wurdt it risiko fan kompromis fan brûkers beoardiele as ûnbelangryk.
Derneist binne alle manifestbestannen en metadata fan partikuliere pakketten sûnt april 2021, CSV-bestannen mei in aktuele list fan alle nammen en ferzjes fan priveepakketten, lykas ek de ynhâld fan alle priveepakketten fan twa GitHub-kliïnten (nammen) wurde net bekend makke) foel yn 'e hannen fan 'e oanfallers. Wat it repository sels oangiet, hawwe analyze fan spoaren en ferifikaasje fan pakket-hashes de oanfallers net iepenbiere dy't feroaringen meitsje oan NPM-pakketten of fiktive nije ferzjes fan pakketten publisearje.
De oanfal fûn plak op april 12 mei gebrûk fan stellen OAuth-tokens generearre foar twa GitHub-yntegrators fan tredden, Heroku en Travis-CI. Mei help fan de tokens koene de oanfallers út privee GitHub-repositories de kaai ekstrahearje om tagong te krijen ta de Amazon Web Services API, brûkt yn 'e NPM-projektynfrastruktuer. De resultearjende kaai joech tagong ta gegevens opslein yn 'e AWS S3-tsjinst.
Derneist waard ynformaasje iepenbiere oer earder identifisearre serieuze fertroulikensproblemen by it ferwurkjen fan brûkersgegevens op NPM-tsjinners - de wachtwurden fan guon NPM-brûkers, lykas ek NPM-tagongstokens, waarden opslein yn dúdlike tekst yn ynterne logs. Tidens de yntegraasje fan NPM mei it GitHub-loggingsysteem hawwe de ûntwikkelders net derfoar soarge dat gefoelige ynformaasje waard fuortsmiten fan fersiken nei NPM-tsjinsten pleatst yn it log. It wurdt beweare dat de flater waard reparearre en de logs waarden wiske foar de oanfal op NPM. Allinich bepaalde GitHub-meiwurkers hiene tagong ta de logs, dy't iepenbiere wachtwurden omfette.
Boarne: opennet.ru