GitHub шабуылды талдау нәтижелерін жариялады, нәтижесінде 12 сәуірде шабуылдаушылар NPM жобасының инфрақұрылымында пайдаланылатын Amazon AWS қызметіндегі бұлттық орталарға қол жеткізді. Оқиғаның талдауы көрсеткендей, шабуылдаушылар skirdb.npmjs.com хостының сақтық көшірмелеріне, соның ішінде 100 жылғы жағдай бойынша шамамен 2015 мың NPM пайдаланушысы үшін тіркелгі деректері бар дерекқордың сақтық көшірмесін, соның ішінде пароль хэштерін, аттар мен электрондық поштаны қоса алғанын көрсетті.
Құпиясөз хэштері тұздалған PBKDF2 немесе SHA1 алгоритмдері арқылы жасалды, олар 2017 жылы күштірек күшке төзімді bcrypt арқылы ауыстырылды. Оқиға анықталғаннан кейін, зардап шеккен құпия сөздер қалпына келтірілді және пайдаланушыларға жаңа құпия сөз орнату туралы ескертілді. Электрондық поштаны растау арқылы міндетті екі факторлы тексеру 1 наурыздан бастап ҰПМ-ге енгізілгендіктен, пайдаланушының компромисстік тәуекелі шамалы деп бағаланады.
Сонымен қатар, 2021 жылдың сәуіріндегі жеке пакеттердің барлық манифест файлдары мен метадеректері, жеке пакеттердің барлық атаулары мен нұсқаларының жаңартылған тізімі бар CSV файлдары, сондай-ақ екі GitHub клиентінің барлық жеке пакеттерінің мазмұны (аттар) ашылмаған) шабуыл жасаушылардың қолына түсті. Репозиторийдің өзіне келетін болсақ, іздерді талдау және пакет хэштерін тексеру NPM пакеттеріне өзгерістер енгізетін немесе пакеттердің жалған жаңа нұсқаларын жариялаған шабуылдаушыларды анықтаған жоқ.
Шабуыл 12 сәуірде екі үшінші тарап GitHub интеграторлары, Heroku және Travis-CI үшін жасалған ұрланған OAuth таңбалауыштары арқылы жасалды. Токендерді пайдалана отырып, шабуылдаушылар жеке GitHub репозиторийлерінен NPM жобасының инфрақұрылымында пайдаланылатын Amazon Web Services API қол жеткізу кілтін шығара алды. Алынған кілт AWS S3 қызметінде сақталған деректерге қол жеткізуге мүмкіндік берді.
Сонымен қатар, NPM серверлерінде пайдаланушы деректерін өңдеу кезінде бұрын анықталған маңызды құпиялылық проблемалары туралы ақпарат ашылды - кейбір NPM пайдаланушыларының құпия сөздері, сондай-ақ NPM қол жеткізу токендері ішкі журналдарда анық мәтінде сақталды. NPM-ді GitHub тіркеу жүйесімен біріктіру кезінде әзірлеушілер журналға орналастырылған NPM қызметтеріне сұраулардан құпия ақпарат жойылғанын қамтамасыз етпеді. NPM-ге шабуыл жасамас бұрын ақау түзетіліп, журналдар тазартылған деген болжам бар. Тек белгілі GitHub қызметкерлері ғана жалпыға ортақ құпия сөздерді қамтитын журналдарға қол жеткізе алды.
Ақпарат көзі: opennet.ru