GitHub-ը հրապարակել է հարձակման վերլուծության արդյունքները, որի արդյունքում ապրիլի 12-ին հարձակվողները մուտք են գործել NPM նախագծի ենթակառուցվածքում օգտագործվող Amazon AWS ծառայության ամպային միջավայրեր։ Միջադեպի վերլուծությունը ցույց է տվել, որ հարձակվողներին հասանելի են դարձել skimdb.npmjs.com հոսթի կրկնօրինակները, այդ թվում՝ տվյալների բազայի կրկնօրինակը մոտ 100 հազար NPM օգտատերերի համար 2015 թվականի դրությամբ, ներառյալ գաղտնաբառի հեշերը, անունները և էլ.
Գաղտնաբառերի հեշերը ստեղծվել են աղած PBKDF2 կամ SHA1 ալգորիթմների միջոցով, որոնք 2017 թվականին փոխարինվել են ավելի կոպիտ ուժի դիմացկուն bcrypt-ով: Միջադեպը հայտնաբերելուց հետո տուժած գաղտնաբառերը վերականգնվել են, և օգտատերերը ծանուցվել են նոր գաղտնաբառ սահմանելու մասին: Քանի որ մարտի 1-ից NPM-ում ներառված է պարտադիր երկգործոնով ստուգումը էլեկտրոնային փոստի հաստատմամբ, օգտվողների փոխզիջման ռիսկը գնահատվում է որպես աննշան:
Բացի այդ, բոլոր մանիֆեստի ֆայլերը և մասնավոր փաթեթների մետատվյալները 2021 թվականի ապրիլի դրությամբ, CSV ֆայլերը՝ մասնավոր փաթեթների բոլոր անունների և տարբերակների թարմացված ցանկով, ինչպես նաև GitHub երկու հաճախորդների բոլոր մասնավոր փաթեթների բովանդակությունը (անուններ չեն բացահայտվում) ընկել են հարձակվողների ձեռքը։ Ինչ վերաբերում է բուն պահեստին, ապա հետքերի վերլուծությունը և փաթեթների հեշերի ստուգումը չբացահայտեց հարձակվողներին, որոնք փոփոխություններ են կատարել NPM փաթեթներում կամ հրապարակել փաթեթների ֆիկտիվ նոր տարբերակներ:
Հարձակումը տեղի է ունեցել ապրիլի 12-ին՝ օգտագործելով գողացված OAuth նշաններ, որոնք ստեղծվել են երրորդ կողմի GitHub ինտեգրատորների՝ Heroku-ի և Travis-CI-ի համար: Օգտագործելով նշանները՝ հարձակվողները կարողացել են մասնավոր GitHub-ի պահոցներից հանել Amazon Web Services API-ին մուտք գործելու բանալին, որն օգտագործվում է NPM նախագծի ենթակառուցվածքում: Ստացված բանալին թույլ տվեց մուտք գործել AWS S3 ծառայությունում պահվող տվյալներին:
Բացի այդ, տեղեկատվություն է բացահայտվել նախկինում հայտնաբերված գաղտնիության լուրջ խնդիրների մասին NPM սերվերների վրա օգտատերերի տվյալները մշակելիս. որոշ NPM օգտատերերի գաղտնաբառերը, ինչպես նաև NPM մուտքի նշանները, պահպանվել են հստակ տեքստով ներքին մատյաններում: NPM-ի GitHub գրանցման համակարգին ինտեգրվելու ընթացքում մշակողները չեն ապահովել, որ զգայուն տեղեկատվությունը հեռացվի մատյանում տեղադրված NPM ծառայություններին ուղղված հարցումներից: Ենթադրվում է, որ թերությունը շտկվել է, և տեղեկամատյանները մաքրվել են մինչ NPM-ի վրա հարձակումը: Միայն GitHub-ի որոշ աշխատակիցներ ունեին մուտք դեպի տեղեկամատյաններ, որոնք ներառում էին հանրային գաղտնաբառեր:
Source: opennet.ru