GitHub は攻撃の分析結果を公開し、その結果、12 月 100 日に攻撃者は NPM プロジェクトのインフラストラクチャで使用されている Amazon AWS サービスのクラウド環境にアクセスしました。 インシデントの分析により、攻撃者は、2015 年の時点で約 XNUMX 万人の NPM ユーザーの資格情報 (パスワード ハッシュ、名前、電子メールを含む) を含むデータベース バックアップを含む、skimdb.npmjs.com ホストのバックアップ コピーにアクセスしたことがわかりました。
パスワード ハッシュは、ソルト付き PBKDF2 または SHA1 アルゴリズムを使用して作成されましたが、2017 年に、よりブルート フォース耐性の高い bcrypt に置き換えられました。 インシデントが特定されると、影響を受けたパスワードはリセットされ、ユーザーには新しいパスワードを設定するよう通知されました。 1 月 XNUMX 日以降、電子メールによる確認による XNUMX 要素認証の必須が NPM に組み込まれたため、ユーザーのセキュリティ侵害のリスクは重要ではないと評価されています。
さらに、2021 年 XNUMX 月時点のプライベート パッケージのすべてのマニフェスト ファイルとメタデータ、プライベート パッケージのすべての名前とバージョンの最新リストを含む CSV ファイル、および XNUMX つの GitHub クライアントのすべてのプライベート パッケージの内容 (名前)は明らかにされていない)攻撃者の手に渡った。 リポジトリ自体に関しては、トレースの分析とパッケージ ハッシュの検証では、攻撃者が NPM パッケージに変更を加えたり、架空の新しいバージョンのパッケージを公開したりすることは明らかになりませんでした。
この攻撃は、12 つのサードパーティ GitHub インテグレータ、Heraku と Travis-CI 用に生成された盗まれた OAuth トークンを使用して、3 月 XNUMX 日に発生しました。 攻撃者はトークンを使用して、NPM プロジェクト インフラストラクチャで使用されるアマゾン ウェブ サービス API にアクセスするためのキーをプライベート GitHub リポジトリから抽出することができました。 結果のキーにより、AWS SXNUMX サービスに保存されているデータへのアクセスが可能になりました。
さらに、NPM サーバーでユーザー データを処理する際に、以前に特定された重大な機密性の問題に関する情報が公開されました。一部の NPM ユーザーのパスワードと NPM アクセス トークンは、内部ログに平文で保存されていました。 NPM を GitHub ログ システムと統合する際、開発者は、ログに記録された NPM サービスへのリクエストから機密情報が削除されていることを保証しませんでした。 NPM への攻撃前に欠陥が修正され、ログが消去されたとされています。 特定の GitHub 従業員のみがログにアクセスでき、公開パスワードが含まれていました。
出所: オープンネット.ru