GitHub menerbitkan hasil analisis serangan itu, akibatnya pada 12 April, penyerang mendapat akses kepada persekitaran awan dalam perkhidmatan Amazon AWS yang digunakan dalam infrastruktur projek NPM. Analisis insiden menunjukkan bahawa penyerang mendapat akses kepada salinan sandaran hos skimdb.npmjs.com, termasuk sandaran pangkalan data dengan kelayakan untuk kira-kira 100 ribu pengguna NPM setakat 2015, termasuk cincang kata laluan, nama dan e-mel.
Cincang kata laluan telah dibuat menggunakan algoritma PBKDF2 atau SHA1 masin, yang telah digantikan pada tahun 2017 oleh bcrypt yang lebih tahan kekerasan. Setelah kejadian itu dikenal pasti, kata laluan yang terjejas telah ditetapkan semula dan pengguna dimaklumkan untuk menetapkan kata laluan baharu. Memandangkan pengesahan dua faktor mandatori dengan pengesahan e-mel telah disertakan dalam NPM sejak 1 Mac, risiko kompromi pengguna dinilai sebagai tidak penting.
Selain itu, semua fail manifes dan metadata pakej peribadi setakat April 2021, fail CSV dengan senarai terkini semua nama dan versi pakej peribadi, serta kandungan semua pakej peribadi dua pelanggan GitHub (nama tidak didedahkan) jatuh ke tangan penyerang. Bagi repositori itu sendiri, analisis jejak dan pengesahan cincang pakej tidak mendedahkan penyerang yang membuat perubahan pada pakej NPM atau menerbitkan versi pakej baharu rekaan.
Serangan itu berlaku pada 12 April menggunakan token OAuth curi yang dijana untuk dua penyepadu GitHub pihak ketiga, Heroku dan Travis-CI. Menggunakan token, penyerang dapat mengekstrak kunci dari repositori GitHub persendirian untuk mengakses API Perkhidmatan Web Amazon, yang digunakan dalam infrastruktur projek NPM. Kunci yang terhasil membenarkan akses kepada data yang disimpan dalam perkhidmatan AWS S3.
Selain itu, maklumat telah didedahkan tentang masalah kerahsiaan serius yang dikenal pasti sebelum ini apabila memproses data pengguna pada pelayan NPM - kata laluan sesetengah pengguna NPM, serta token akses NPM, disimpan dalam teks yang jelas dalam log dalaman. Semasa penyepaduan NPM dengan sistem pengelogan GitHub, pembangun tidak memastikan bahawa maklumat sensitif dialih keluar daripada permintaan kepada perkhidmatan NPM yang diletakkan dalam log. Didakwa bahawa kecacatan itu telah diperbaiki dan kayu balak telah dibersihkan sebelum serangan ke atas NPM. Hanya pekerja GitHub tertentu yang mempunyai akses kepada log, yang termasuk kata laluan awam.
Sumber: opennet.ru