GitHub nerbitake asil analisis serangan kasebut, minangka asil saka 12 April, panyerang entuk akses menyang lingkungan awan ing layanan Amazon AWS sing digunakake ing infrastruktur proyek NPM. Analisis kedadeyan kasebut nuduhake manawa panyerang entuk akses menyang salinan serep host skimdb.npmjs.com, kalebu serep database kanthi kredensial kanggo kira-kira 100 ewu pangguna NPM ing 2015, kalebu hash sandi, jeneng lan email.
Hash sandhi digawe nggunakake algoritma PBKDF2 utawa SHA1 salted, sing diganti ing 2017 dening bcrypt tahan pasukan sing luwih brute. Sawise kedadeyan kasebut diidentifikasi, sandhi sing kena pengaruh direset lan pangguna diwenehi kabar kanggo nyetel tembung sandhi anyar. Wiwit verifikasi rong faktor wajib karo konfirmasi email wis dilebokake ing NPM wiwit 1 Maret, risiko kompromi pangguna ditaksir minangka ora pati penting.
Kajaba iku, kabeh file nyata lan metadata paket pribadi wiwit April 2021, file CSV kanthi dhaptar paling anyar saka kabeh jeneng lan versi paket pribadi, uga isi kabeh paket pribadi saka rong klien GitHub (jeneng). ora dibeberke) tiba ing tangan para penyerang. Kanggo repositori dhewe, analisa jejak lan verifikasi hash paket ora nuduhake panyerang sing nggawe owah-owahan ing paket NPM utawa nerbitake versi paket anyar fiktif.
Serangan kasebut ditindakake tanggal 12 April nggunakake token OAuth sing dicolong sing digawe kanggo rong integrator GitHub pihak katelu, Heroku lan Travis-CI. Nggunakake token, panyerang bisa ngekstrak saka repositori GitHub pribadi kunci kanggo ngakses API Layanan Web Amazon, sing digunakake ing infrastruktur proyek NPM. Tombol asil ngidini akses menyang data sing disimpen ing layanan AWS S3.
Kajaba iku, informasi dibeberke babagan masalah rahasia serius sing sadurunge diidentifikasi nalika ngolah data pangguna ing server NPM - sandhi sawetara pangguna NPM, uga token akses NPM, disimpen ing teks sing cetha ing log internal. Sajrone integrasi NPM karo sistem logging GitHub, pangembang ora mesthekake yen informasi sensitif dibusak saka panjalukan kanggo layanan NPM sing diselehake ing log. Dituduhake manawa cacat kasebut didandani lan log wis diresiki sadurunge serangan ing NPM. Mung karyawan GitHub tartamtu sing duwe akses menyang log, sing kalebu sandhi umum.
Source: opennet.ru