O GitHub publicou os resultados de uma análise do ataque, com a qual, no dia 12 de abril, os invasores obtiveram acesso a ambientes de nuvem no serviço Amazon AWS usado na infraestrutura do projeto NPM. A análise do incidente mostrou que os invasores obtiveram acesso a cópias de backup do host skimdb.npmjs.com, incluindo um backup de banco de dados com credenciais para aproximadamente 100 mil usuários do NPM em 2015, incluindo hashes de senha, nomes e e-mail.
Os hashes de senha foram criados usando os algoritmos salgados PBKDF2 ou SHA1, que foram substituídos em 2017 pelo bcrypt, mais resistente à força bruta. Assim que o incidente foi identificado, as senhas afetadas foram redefinidas e os usuários foram notificados para definir uma nova senha. Como a verificação obrigatória de dois fatores com confirmação por e-mail foi incluída no NPM desde 1º de março, o risco de comprometimento do usuário é avaliado como insignificante.
Além disso, todos os arquivos de manifesto e metadados de pacotes privados em abril de 2021, arquivos CSV com uma lista atualizada de todos os nomes e versões de pacotes privados, bem como o conteúdo de todos os pacotes privados de dois clientes GitHub (nomes não são divulgados) caíram nas mãos dos agressores. Quanto ao repositório em si, a análise de rastreamentos e verificação de hashes de pacotes não revelou que os invasores fizeram alterações nos pacotes NPM ou publicaram novas versões fictícias de pacotes.
O ataque ocorreu em 12 de abril usando tokens OAuth roubados gerados para dois integradores terceirizados do GitHub, Heroku e Travis-CI. Usando os tokens, os invasores conseguiram extrair de repositórios privados do GitHub a chave de acesso à API Amazon Web Services, usada na infraestrutura do projeto NPM. A chave resultante permitiu acesso aos dados armazenados no serviço AWS S3.
Além disso, foram divulgadas informações sobre sérios problemas de confidencialidade identificados anteriormente no processamento de dados de usuários em servidores NPM - as senhas de alguns usuários NPM, bem como os tokens de acesso NPM, foram armazenados em texto não criptografado em logs internos. Durante a integração do NPM com o sistema de log do GitHub, os desenvolvedores não garantiram que as informações confidenciais fossem removidas das solicitações aos serviços NPM colocadas no log. Alega-se que a falha foi corrigida e os logs apagados antes do ataque ao NPM. Apenas alguns funcionários do GitHub tiveram acesso aos logs, que incluíam senhas públicas.
Fonte: opennet.ru