GitHub menerbitkan hasil analisis serangan tersebut, yang hasilnya pada tanggal 12 April, penyerang memperoleh akses ke lingkungan cloud di layanan Amazon AWS yang digunakan dalam infrastruktur proyek NPM. Analisis insiden menunjukkan bahwa penyerang memperoleh akses ke salinan cadangan host skimdb.npmjs.com, termasuk cadangan basis data dengan kredensial untuk sekitar 100 ribu pengguna NPM pada tahun 2015, termasuk hash kata sandi, nama, dan email.
Hash kata sandi dibuat menggunakan algoritme PBKDF2 atau SHA1 yang diberi garam, yang pada tahun 2017 digantikan oleh bcrypt yang lebih tahan terhadap kekerasan. Setelah insiden teridentifikasi, kata sandi yang terpengaruh akan diatur ulang dan pengguna diberitahu untuk menetapkan kata sandi baru. Karena verifikasi dua faktor wajib dengan konfirmasi email telah dimasukkan dalam NPM sejak 1 Maret, risiko penyusupan oleh pengguna dinilai tidak signifikan.
Selain itu, semua file manifes dan metadata paket pribadi per April 2021, file CSV dengan daftar terkini semua nama dan versi paket pribadi, serta konten semua paket pribadi dari dua klien GitHub (nama tidak diungkapkan) jatuh ke tangan para penyerang. Sedangkan untuk repositori itu sendiri, analisis jejak dan verifikasi hash paket tidak mengungkapkan penyerang yang membuat perubahan pada paket NPM atau menerbitkan versi paket baru yang fiktif.
Serangan tersebut terjadi pada 12 April menggunakan token OAuth curian yang dihasilkan untuk dua integrator GitHub pihak ketiga, Heroku dan Travis-CI. Dengan menggunakan token tersebut, penyerang dapat mengekstrak kunci dari repositori GitHub pribadi untuk mengakses API Amazon Web Services, yang digunakan dalam infrastruktur proyek NPM. Kunci yang dihasilkan mengizinkan akses ke data yang disimpan di layanan AWS S3.
Selain itu, informasi diungkapkan tentang masalah kerahasiaan serius yang teridentifikasi sebelumnya saat memproses data pengguna di server NPM - kata sandi beberapa pengguna NPM, serta token akses NPM, disimpan dalam teks yang jelas di log internal. Selama integrasi NPM dengan sistem logging GitHub, pengembang tidak memastikan bahwa informasi sensitif telah dihapus dari permintaan ke layanan NPM yang ditempatkan di log. Diduga bahwa kelemahan tersebut telah diperbaiki dan log telah dibersihkan sebelum serangan terhadap NPM. Hanya karyawan GitHub tertentu yang memiliki akses ke log, termasuk kata sandi publik.
Sumber: opennet.ru