GitHub je objavio rezultate analize napada, uslijed koje su 12. travnja napadači dobili pristup cloud okruženjima u Amazon AWS servisu koji se koristi u infrastrukturi NPM projekta. Analiza incidenta pokazala je da su napadači dobili pristup sigurnosnim kopijama hosta skimdb.npmjs.com, uključujući sigurnosnu kopiju baze podataka s vjerodajnicama za približno 100 tisuća NPM korisnika od 2015., uključujući hashove zaporki, imena i e-poštu.
Raspršivači zaporki stvoreni su korištenjem usoljenih algoritama PBKDF2 ili SHA1, koji su 2017. zamijenjeni bcryptom koji je otporniji na grubu silu. Nakon što je identificiran incident, pogođene lozinke su poništene, a korisnici su obaviješteni da postave novu lozinku. Budući da je od 1. ožujka u NPM uključena obavezna dvofaktorska provjera s potvrdom putem e-pošte, rizik od kompromitacije korisnika procjenjuje se beznačajnim.
Osim toga, sve datoteke manifesta i metapodaci privatnih paketa od travnja 2021., CSV datoteke s ažuriranim popisom svih naziva i verzija privatnih paketa, kao i sadržaj svih privatnih paketa dva GitHub klijenta (imena nisu objavljeni) pao u ruke napadača. Što se tiče samog repozitorija, analizom tragova i provjerom hashova paketa nije otkriveno da napadači mijenjaju NPM pakete ili objavljuju fiktivne nove verzije paketa.
Napad se dogodio 12. travnja korištenjem ukradenih OAuth tokena generiranih za dva GitHub integratora treće strane, Heroku i Travis-CI. Koristeći tokene, napadači su iz privatnih GitHub repozitorija uspjeli izvući ključ za pristup API-ju Amazon Web Services, koji se koristi u infrastrukturi NPM projekta. Dobiveni ključ omogućio je pristup podacima pohranjenim u AWS S3 usluzi.
Dodatno, otkrivene su informacije o ranije identificiranim ozbiljnim problemima povjerljivosti prilikom obrade korisničkih podataka na NPM poslužiteljima – lozinke nekih NPM korisnika, kao i NPM pristupni tokeni, pohranjeni su u čistom tekstu u internim zapisima. Tijekom integracije NPM-a sa GitHub sustavom za bilježenje, programeri nisu osigurali uklanjanje osjetljivih informacija iz zahtjeva prema NPM uslugama postavljenim u zapisnik. Navodno je greška popravljena i dnevnici očišćeni prije napada na NPM. Samo su određeni zaposlenici GitHuba imali pristup zapisima, koji su uključivali javne lozinke.
Izvor: opennet.ru