GitHub ದಾಳಿಯ ವಿಶ್ಲೇಷಣೆಯ ಫಲಿತಾಂಶಗಳನ್ನು ಪ್ರಕಟಿಸಿತು, ಇದರ ಪರಿಣಾಮವಾಗಿ ಏಪ್ರಿಲ್ 12 ರಂದು ದಾಳಿಕೋರರು NPM ಯೋಜನೆಯ ಮೂಲಸೌಕರ್ಯದಲ್ಲಿ ಬಳಸಲಾದ Amazon AWS ಸೇವೆಯಲ್ಲಿ ಕ್ಲೌಡ್ ಪರಿಸರಕ್ಕೆ ಪ್ರವೇಶವನ್ನು ಪಡೆದರು. ಘಟನೆಯ ವಿಶ್ಲೇಷಣೆಯು ಆಕ್ರಮಣಕಾರರು skimdb.npmjs.com ಹೋಸ್ಟ್ನ ಬ್ಯಾಕಪ್ ಪ್ರತಿಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆದುಕೊಂಡಿದ್ದಾರೆ ಎಂದು ತೋರಿಸಿದೆ, ಪಾಸ್ವರ್ಡ್ ಹ್ಯಾಶ್ಗಳು, ಹೆಸರುಗಳು ಮತ್ತು ಇಮೇಲ್ ಸೇರಿದಂತೆ 100 ರ ಹೊತ್ತಿಗೆ ಸರಿಸುಮಾರು 2015 ಸಾವಿರ NPM ಬಳಕೆದಾರರಿಗೆ ರುಜುವಾತುಗಳೊಂದಿಗೆ ಡೇಟಾಬೇಸ್ ಬ್ಯಾಕಪ್ ಸೇರಿದಂತೆ.
ಪಾಸ್ವರ್ಡ್ ಹ್ಯಾಶ್ಗಳನ್ನು ಉಪ್ಪುಸಹಿತ PBKDF2 ಅಥವಾ SHA1 ಅಲ್ಗಾರಿದಮ್ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ರಚಿಸಲಾಗಿದೆ, ಇವುಗಳನ್ನು 2017 ರಲ್ಲಿ ಹೆಚ್ಚು ವಿವೇಚನಾರಹಿತ ಶಕ್ತಿ-ನಿರೋಧಕ bcrypt ನಿಂದ ಬದಲಾಯಿಸಲಾಯಿತು. ಘಟನೆಯನ್ನು ಗುರುತಿಸಿದ ನಂತರ, ಪೀಡಿತ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಮರುಹೊಂದಿಸಲಾಗಿದೆ ಮತ್ತು ಹೊಸ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಹೊಂದಿಸಲು ಬಳಕೆದಾರರಿಗೆ ಸೂಚಿಸಲಾಗಿದೆ. ಮಾರ್ಚ್ 1 ರಿಂದ ಇಮೇಲ್ ದೃಢೀಕರಣದೊಂದಿಗೆ ಕಡ್ಡಾಯ ಎರಡು ಅಂಶಗಳ ಪರಿಶೀಲನೆಯನ್ನು NPM ನಲ್ಲಿ ಸೇರಿಸಿರುವುದರಿಂದ, ಬಳಕೆದಾರರ ರಾಜಿ ಅಪಾಯವನ್ನು ಅತ್ಯಲ್ಪವೆಂದು ನಿರ್ಣಯಿಸಲಾಗುತ್ತದೆ.
ಹೆಚ್ಚುವರಿಯಾಗಿ, ಏಪ್ರಿಲ್ 2021 ರಂತೆ ಖಾಸಗಿ ಪ್ಯಾಕೇಜ್ಗಳ ಎಲ್ಲಾ ಮ್ಯಾನಿಫೆಸ್ಟ್ ಫೈಲ್ಗಳು ಮತ್ತು ಮೆಟಾಡೇಟಾ, ಎಲ್ಲಾ ಹೆಸರುಗಳು ಮತ್ತು ಖಾಸಗಿ ಪ್ಯಾಕೇಜ್ಗಳ ಆವೃತ್ತಿಗಳ ನವೀಕೃತ ಪಟ್ಟಿಯನ್ನು ಹೊಂದಿರುವ CSV ಫೈಲ್ಗಳು, ಹಾಗೆಯೇ ಎರಡು GitHub ಕ್ಲೈಂಟ್ಗಳ (ಹೆಸರುಗಳು) ಎಲ್ಲಾ ಖಾಸಗಿ ಪ್ಯಾಕೇಜ್ಗಳ ವಿಷಯಗಳು ಬಹಿರಂಗಪಡಿಸಲಾಗಿಲ್ಲ) ದಾಳಿಕೋರರ ಕೈಗೆ ಸಿಕ್ಕಿತು. ರೆಪೊಸಿಟರಿಗೆ ಸಂಬಂಧಿಸಿದಂತೆ, ಕುರುಹುಗಳ ವಿಶ್ಲೇಷಣೆ ಮತ್ತು ಪ್ಯಾಕೇಜ್ ಹ್ಯಾಶ್ಗಳ ಪರಿಶೀಲನೆಯು ದಾಳಿಕೋರರು NPM ಪ್ಯಾಕೇಜ್ಗಳಲ್ಲಿ ಬದಲಾವಣೆಗಳನ್ನು ಮಾಡುವುದನ್ನು ಅಥವಾ ಪ್ಯಾಕೇಜ್ಗಳ ಕಾಲ್ಪನಿಕ ಹೊಸ ಆವೃತ್ತಿಗಳನ್ನು ಪ್ರಕಟಿಸುವುದನ್ನು ಬಹಿರಂಗಪಡಿಸಲಿಲ್ಲ.
ಎರಡು ಥರ್ಡ್-ಪಾರ್ಟಿ GitHub ಇಂಟಿಗ್ರೇಟರ್ಗಳಾದ Heroku ಮತ್ತು Travis-CI ಗಾಗಿ ರಚಿಸಲಾದ ಕದ್ದ OAuth ಟೋಕನ್ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಏಪ್ರಿಲ್ 12 ರಂದು ದಾಳಿ ನಡೆಸಲಾಯಿತು. ಟೋಕನ್ಗಳನ್ನು ಬಳಸಿಕೊಂಡು, ದಾಳಿಕೋರರು ಖಾಸಗಿ GitHub ರೆಪೊಸಿಟರಿಗಳಿಂದ ಅಮೆಜಾನ್ ವೆಬ್ ಸೇವೆಗಳ API ಅನ್ನು ಪ್ರವೇಶಿಸಲು ಕೀಲಿಯನ್ನು ಹೊರತೆಗೆಯಲು ಸಾಧ್ಯವಾಯಿತು, ಇದನ್ನು NPM ಪ್ರಾಜೆಕ್ಟ್ ಮೂಲಸೌಕರ್ಯದಲ್ಲಿ ಬಳಸಲಾಗುತ್ತದೆ. ಪರಿಣಾಮವಾಗಿ ಕೀ AWS S3 ಸೇವೆಯಲ್ಲಿ ಸಂಗ್ರಹವಾಗಿರುವ ಡೇಟಾಗೆ ಪ್ರವೇಶವನ್ನು ಅನುಮತಿಸಿದೆ.
ಹೆಚ್ಚುವರಿಯಾಗಿ, NPM ಸರ್ವರ್ಗಳಲ್ಲಿ ಬಳಕೆದಾರರ ಡೇಟಾವನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವಾಗ ಹಿಂದೆ ಗುರುತಿಸಲಾದ ಗಂಭೀರ ಗೌಪ್ಯತೆಯ ಸಮಸ್ಯೆಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಬಹಿರಂಗಪಡಿಸಲಾಗಿದೆ - ಕೆಲವು NPM ಬಳಕೆದಾರರ ಪಾಸ್ವರ್ಡ್ಗಳು, ಹಾಗೆಯೇ NPM ಪ್ರವೇಶ ಟೋಕನ್ಗಳನ್ನು ಆಂತರಿಕ ಲಾಗ್ಗಳಲ್ಲಿ ಸ್ಪಷ್ಟ ಪಠ್ಯದಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗಿದೆ. GitHub ಲಾಗಿಂಗ್ ಸಿಸ್ಟಮ್ನೊಂದಿಗೆ NPM ನ ಏಕೀಕರಣದ ಸಮಯದಲ್ಲಿ, ಲಾಗ್ನಲ್ಲಿ ಇರಿಸಲಾದ NPM ಸೇವೆಗಳಿಗೆ ವಿನಂತಿಗಳಿಂದ ಸೂಕ್ಷ್ಮ ಮಾಹಿತಿಯನ್ನು ತೆಗೆದುಹಾಕಲಾಗಿದೆ ಎಂದು ಡೆವಲಪರ್ಗಳು ಖಚಿತಪಡಿಸಲಿಲ್ಲ. ಎನ್ಪಿಎಂ ಮೇಲಿನ ದಾಳಿಗೆ ಮುನ್ನ ದೋಷವನ್ನು ಸರಿಪಡಿಸಲಾಗಿದೆ ಮತ್ತು ಲಾಗ್ಗಳನ್ನು ತೆರವುಗೊಳಿಸಲಾಗಿದೆ ಎಂದು ಆರೋಪಿಸಲಾಗಿದೆ. ಕೆಲವು GitHub ಉದ್ಯೋಗಿಗಳು ಮಾತ್ರ ಸಾರ್ವಜನಿಕ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಒಳಗೊಂಡಿರುವ ಲಾಗ್ಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿದ್ದರು.
ಮೂಲ: opennet.ru