GitHub publiceerde de resultaten van een analyse van de aanval, waardoor aanvallers op 12 april toegang kregen tot cloudomgevingen in de Amazon AWS-dienst die wordt gebruikt in de infrastructuur van het NPM-project. Uit analyse van het incident bleek dat de aanvallers toegang kregen tot back-ups van de skimdb.npmjs.com-host, inclusief een databaseback-up met inloggegevens voor ongeveer 100 NPM-gebruikers vanaf 2015, inclusief wachtwoord-hashes, namen en e-mail.
Wachtwoord-hashes zijn gemaakt met behulp van de gezouten PBKDF2- of SHA1-algoritmen, die in 2017 werden vervangen door de meer brute krachtbestendige bcrypt. Nadat het incident was geïdentificeerd, werden de betrokken wachtwoorden opnieuw ingesteld en werden gebruikers geïnformeerd dat ze een nieuw wachtwoord moesten instellen. Omdat sinds 1 maart verplichte tweefactorauthenticatie met e-mailbevestiging is opgenomen in NPM, wordt het risico op gebruikerscompromis als onbeduidend ingeschat.
Daarnaast zijn vanaf april 2021 alle manifestbestanden en metadata van privépakketten, CSV-bestanden met een actuele lijst van alle namen en versies van privépakketten, evenals de inhoud van alle privépakketten van twee GitHub-clients (namen worden niet bekendgemaakt) vielen in handen van de aanvallers. Wat de repository zelf betreft, bleek uit de analyse van sporen en de verificatie van pakket-hashes niet dat de aanvallers wijzigingen aanbrachten in NPM-pakketten of fictieve nieuwe versies van pakketten publiceerden.
De aanval vond plaats op 12 april met behulp van gestolen OAuth-tokens die waren gegenereerd voor twee externe GitHub-integrators, Heroku en Travis-CI. Met behulp van de tokens konden de aanvallers uit privé GitHub-opslagplaatsen de sleutel halen voor toegang tot de Amazon Web Services API, die wordt gebruikt in de NPM-projectinfrastructuur. De resulterende sleutel gaf toegang tot gegevens die zijn opgeslagen in de AWS S3-service.
Bovendien werd informatie vrijgegeven over eerder geïdentificeerde ernstige vertrouwelijkheidsproblemen bij het verwerken van gebruikersgegevens op NPM-servers: de wachtwoorden van sommige NPM-gebruikers, evenals NPM-toegangstokens, werden in duidelijke tekst opgeslagen in interne logboeken. Tijdens de integratie van NPM met het GitHub-logboeksysteem hebben de ontwikkelaars er niet voor gezorgd dat gevoelige informatie werd verwijderd uit verzoeken aan NPM-services die in het logboek waren geplaatst. Er wordt beweerd dat de fout is verholpen en dat de logboeken vóór de aanval op NPM zijn gewist. Alleen bepaalde GitHub-medewerkers hadden toegang tot de logbestanden, waaronder openbare wachtwoorden.
Bron: opennet.ru