GitHub publizéiert d'Resultater vun enger Analyse vum Attack, als Resultat vun deem den 12. Abrëll Ugräifer Zougang zu Cloud-Ëmfeld am Amazon AWS Service hunn, deen an der Infrastruktur vum NPM-Projet benotzt gouf. D'Analyse vum Zwëschefall huet gewisen datt d'Ugräifer Zougang zu Backupkopien vum Skimdb.npmjs.com Host hunn, dorënner eng Datebankbackup mat Umeldungsinformatiounen fir ongeféier 100 Tausend NPM Benotzer ab 2015, inklusiv Passwuert-Hashes, Nimm an E-Mail.
Passwuert Hashes goufen erstallt mat de gesalzene PBKDF2 oder SHA1 Algorithmen, déi am Joer 2017 duerch déi méi brute Kraaft-resistente Bcrypt ersat goufen. Wann den Tëschefall identifizéiert gouf, goufen déi betraffe Passwierder zréckgesat an d'Benotzer goufen informéiert fir en neit Passwuert ze setzen. Zënter obligatoresch Zwee-Faktor Verifikatioun mat E-Mail Bestätegung ass zënter dem 1. Mäerz am NPM abegraff, gëtt de Risiko vu Benotzerkompromëss als onbedeitend bewäert.
Zousätzlech, all Manifestdateien a Metadaten vu privaten Packagen ab Abrëll 2021, CSV Dateien mat enger aktueller Lëscht vun all Nimm a Versioune vu private Packagen, souwéi den Inhalt vun alle privaten Packagen vun zwee GitHub Clienten (Nimm) sinn net bekanntginn) an d'Hänn vun den Ugräifer gefall. Wat de Repository selwer ugeet, huet d'Analyse vun de Spuren an d'Verifizéierung vu Pakethashen net opgedeckt datt d'Ugräifer Ännerungen un NPM Packagen maachen oder fiktiv nei Versioune vu Pakete publizéieren.
D'Attack ass den 12. Abrëll stattfonnt mat geklauten OAuth Tokens generéiert fir zwee Drëtt Partei GitHub Integratoren, Heroku an Travis-CI. Mat Hëllef vun den Tokens konnten d'Ugräifer aus private GitHub Repositories de Schlëssel extrahéieren fir Zougang zu der Amazon Web Services API, déi an der NPM Projetinfrastruktur benotzt gëtt. De resultéierende Schlëssel erlaabt Zougang zu Daten, déi am AWS S3 Service gespäichert sinn.
Zousätzlech gouf d'Informatioun iwwer virdru identifizéiert sérieux Vertraulechkeetsproblemer opgedeckt wann d'Benotzerdaten op NPM Serveren veraarbecht ginn - d'Passwierder vun e puer NPM Benotzer, souwéi NPM Zougang Tokens, goufen am Kloertext an internen Logbicher gespäichert. Wärend der Integratioun vum NPM mam GitHub Logging System hunn d'Entwéckler net gesuergt datt sensibel Informatioun aus Ufroe fir NPM Servicer am Logbuch geläscht gouf. Et gëtt behaapt datt de Feeler fixéiert gouf an d'Logbicher goufen virum Attack op NPM geläscht. Nëmme verschidde GitHub Mataarbechter haten Zougang zu de Logbicher, déi ëffentlech Passwierder enthalen.
Source: opennet.ru