GitHub ha pubblicato i risultati di un'analisi dell'attacco, a seguito della quale il 12 aprile gli aggressori hanno avuto accesso agli ambienti cloud del servizio Amazon AWS utilizzato nell'infrastruttura del progetto NPM. L'analisi dell'incidente ha mostrato che gli aggressori hanno avuto accesso alle copie di backup dell'host skimdb.npmjs.com, incluso un backup del database con credenziali per circa 100mila utenti NPM a partire dal 2015, inclusi hash delle password, nomi ed e-mail.
Gli hash delle password sono stati creati utilizzando gli algoritmi salted PBKDF2 o SHA1, che sono stati sostituiti nel 2017 dal bcrypt, più resistente alla forza bruta. Una volta identificato l'incidente, le password interessate sono state reimpostate e agli utenti è stato chiesto di impostare una nuova password. Poiché dal 1° marzo è stata inclusa nell’NPM la verifica obbligatoria a due fattori con conferma via e-mail, il rischio di compromissione dell’utente è valutato insignificante.
Inoltre, tutti i file manifest e i metadati dei pacchetti privati a partire da aprile 2021, i file CSV con un elenco aggiornato di tutti i nomi e le versioni dei pacchetti privati, nonché il contenuto di tutti i pacchetti privati di due client GitHub (nomi non vengono divulgati) caddero nelle mani degli aggressori. Per quanto riguarda il repository stesso, l'analisi delle tracce e la verifica degli hash dei pacchetti non hanno rivelato che gli aggressori hanno apportato modifiche ai pacchetti NPM o pubblicato nuove versioni fittizie dei pacchetti.
L'attacco è avvenuto il 12 aprile utilizzando token OAuth rubati generati per due integratori GitHub di terze parti, Heroku e Travis-CI. Utilizzando i token, gli aggressori sono riusciti a estrarre dai repository privati GitHub la chiave per accedere all'API di Amazon Web Services, utilizzata nell'infrastruttura del progetto NPM. La chiave risultante consentiva l'accesso ai dati archiviati nel servizio AWS S3.
Inoltre, sono state divulgate informazioni su gravi problemi di riservatezza precedentemente identificati durante l'elaborazione dei dati degli utenti sui server NPM: le password di alcuni utenti NPM, nonché i token di accesso NPM, erano archiviati in chiaro nei registri interni. Durante l'integrazione di NPM con il sistema di logging GitHub, gli sviluppatori non hanno assicurato che le informazioni sensibili fossero rimosse dalle richieste ai servizi NPM inserite nel log. Si presume che il difetto sia stato corretto e che i registri siano stati cancellati prima dell'attacco a NPM. Solo alcuni dipendenti di GitHub avevano accesso ai registri, che includevano password pubbliche.
Fonte: opennet.ru