GitHub pibliye rezilta analiz de atak la, kòm yon rezilta, nan dat 12 avril, atakè yo te jwenn aksè nan anviwònman nwaj yo nan sèvis Amazon AWS yo itilize nan enfrastrikti pwojè NPM la. Yon analiz de ensidan an te montre ke atakè yo te jwenn aksè nan sovgad nan skimdb.npmjs.com lame a, ki gen ladan yon backup baz done ak kalifikasyon nan apeprè 100 itilizatè NPM apati 2015, ki gen ladan hash modpas, non, ak imèl.
Hashes modpas yo te kreye lè l sèvi avèk algorithm PBKDF2 oswa SHA1 ak yon sèl, ki te ranplase an 2017 ak bcrypt fòs brit la. Apre yo te idantifye ensidan an, modpas ki te koule yo te reset epi yo te voye yon notifikasyon bay itilizatè yo pou yo tabli yon nouvo modpas. Depi NPM te enkli verifikasyon obligatwa de-faktè ak konfimasyon imel depi 1ye mas, risk pou itilizatè konpwomi evalye kòm ensiyifyan.
Anplis de sa, tout fichye manifest ak metadata pakè prive yo apati avril 2021, dosye CSV ak yon lis ajou tout non ak vèsyon pakè prive yo, ansanm ak sa ki nan tout pakè prive de kliyan GitHub (non yo pa divilge) tonbe nan men atakè yo. Kòm pou repozitwa a tèt li, analiz la nan tras ak verifikasyon nan hashes pake pa t 'revele atakè yo fè chanjman nan pakè NPM ak pibliye nouvo vèsyon fiktif nan pakè.
Atak la te fèt sou Avril 12 lè l sèvi avèk siy OAuth yo vòlè ki te pwodwi pou de entegratè GitHub twazyèm pati, Heroku ak Travis-CI. Sèvi ak siy yo, atakè yo te kapab ekstrè nan depo prive GitHub yo kle pou jwenn aksè nan Amazon Web Services API yo itilize nan enfrastrikti pwojè NPM la. Kle ki lakòz yo pèmèt aksè a done ki estoke nan sèvis AWS S3 la.
Anplis de sa, yo te divilge enfòmasyon sou pwoblèm konfidansyalite grav yo te idantifye deja nan pwosesis done itilizatè yo sou sèvè NPM yo - nan mòso bwa yo entèn yo, modpas kèk itilizatè NPM, ansanm ak siy aksè nan NPM, yo te estoke nan tèks klè. Pandan entegrasyon NPM ak sistèm loging GitHub, devlopè yo pa t asire ke enfòmasyon sansib yo te koupe nan demann yo mete nan boutèy demi lit pou sèvis NPM yo. Yo reklame ke defo a te fiks ak mòso bwa yo te netwaye anvan atak la sou NPM. Aksè nan mòso bwa yo, ki gen ladan modpas louvri, te gen sèlman kèk anplwaye nan GitHub.
Sous: opennet.ru