A GitHub közzétette a támadás elemzésének eredményét, melynek eredményeként április 12-én az NPM projekt infrastruktúrájában használt Amazon AWS szolgáltatásban felhőkörnyezetekhez jutottak a támadók. Az incidens elemzése kimutatta, hogy a támadók hozzáfértek a skimdb.npmjs.com gazdagép biztonsági másolataihoz, köztük egy adatbázis biztonsági másolathoz, amely körülbelül 100 ezer NPM-felhasználó hitelesítő adatait tartalmazza 2015-ben, beleértve a jelszókivonatokat, neveket és e-mail-címeket.
A jelszókivonatokat a sózott PBKDF2 vagy SHA1 algoritmusokkal hozták létre, amelyeket 2017-ben felváltottak a nyersebb erővel szemben ellenálló bcrypt. Az incidens azonosítása után az érintett jelszavakat visszaállították, és a felhasználókat értesítették, hogy állítsanak be új jelszót. Mivel az NPM-ben március 1-je óta szerepel a kötelező kéttényezős, e-mailes visszaigazolással történő ellenőrzés, a felhasználói kompromittálás kockázatát jelentéktelennek értékelték.
Ezen túlmenően a 2021. áprilisi állapotú privát csomagok összes jegyzékfájlja és metaadata, CSV-fájlok a privát csomagok összes nevének és verziójának naprakész listájával, valamint két GitHub-kliens összes privát csomagjának tartalma (nevek nem hozzák nyilvánosságra) a támadók kezébe kerültek. Ami magát a tárolót illeti, a nyomkövetések elemzése és a csomagkivonatok ellenőrzése nem fedte fel, hogy a támadók megváltoztatták volna az NPM-csomagokat, vagy fiktív új csomagokat tettek közzé.
A támadás április 12-én történt, két harmadik fél GitHub-integrátor, a Heroku és a Travis-CI számára generált ellopott OAuth-tokenekkel. A tokenek segítségével a támadók a privát GitHub-tárolókból kinyerhették az NPM-projekt infrastruktúrájában használt Amazon Web Services API eléréséhez szükséges kulcsot. Az így kapott kulcs hozzáférést biztosított az AWS S3 szolgáltatásban tárolt adatokhoz.
Ezenkívül információkat hoztak nyilvánosságra a korábban azonosított súlyos titoktartási problémákról a felhasználói adatok NPM-szervereken történő feldolgozásakor – egyes NPM-felhasználók jelszavait, valamint az NPM-hozzáférési jogkivonatokat tiszta szövegként tárolták a belső naplókban. Az NPM és a GitHub naplózási rendszer integrálása során a fejlesztők nem gondoskodtak arról, hogy a naplóban elhelyezett NPM-szolgáltatások kéréseiből érzékeny információk kerüljenek eltávolításra. Állítólag a hibát az NPM elleni támadás előtt javították, és a naplókat törölték. Csak bizonyos GitHub alkalmazottak fértek hozzá a naplókhoz, amelyek nyilvános jelszavakat tartalmaztak.
Forrás: opennet.ru