GitHub je objavil rezultate analize napada, s katero so 12. aprila napadalci pridobili dostop do oblačnih okolij v storitvi Amazon AWS, ki se uporablja v infrastrukturi projekta NPM. Analiza incidenta je pokazala, da so napadalci pridobili dostop do varnostnih kopij gostitelja skimdb.npmjs.com, vključno z varnostno kopijo baze podatkov s poverilnicami za približno 100 tisoč uporabnikov NPM od leta 2015, vključno z zgoščenimi vrednostmi gesel, imeni in e-pošto.
Zgoščene vrednosti gesel so bile ustvarjene s pomočjo algoritmov PBKDF2 ali SHA1, ki so bili leta 2017 nadomeščeni z bolj odpornim na surovo silo bcrypt. Ko je bil incident odkrit, so bila prizadeta gesla ponastavljena in uporabniki so bili obveščeni, naj nastavijo novo geslo. Ker je od 1. marca v NPM vključeno obvezno dvostopenjsko preverjanje s potrditvijo po elektronski pošti, ocenjujemo, da je tveganje ogroženosti uporabnika nepomembno.
Poleg tega so vse manifestne datoteke in metapodatki zasebnih paketov od aprila 2021, datoteke CSV z posodobljenim seznamom vseh imen in različic zasebnih paketov ter vsebina vseh zasebnih paketov dveh odjemalcev GitHub (imeni niso razkriti) padel v roke napadalcem. Kar zadeva samo repozitorij, analiza sledi in preverjanje zgoščenih vrednosti paketov ni razkrilo, da bi napadalci spreminjali pakete NPM ali objavljali fiktivne nove različice paketov.
Napad se je zgodil 12. aprila z uporabo ukradenih žetonov OAuth, ustvarjenih za dva integratorja GitHub tretjih oseb, Heroku in Travis-CI. Z uporabo žetonov so lahko napadalci iz zasebnih repozitorijev GitHub pridobili ključ za dostop do API-ja Amazon Web Services, ki se uporablja v infrastrukturi projekta NPM. Nastali ključ je omogočil dostop do podatkov, shranjenih v storitvi AWS S3.
Poleg tega so bile razkrite informacije o predhodno ugotovljenih resnih težavah z zaupnostjo pri obdelavi uporabniških podatkov na strežnikih NPM – gesla nekaterih uporabnikov NPM in žetoni za dostop do NPM so bila shranjena v čistem besedilu v internih dnevnikih. Med integracijo NPM s sistemom beleženja GitHub razvijalci niso zagotovili, da bi bile občutljive informacije odstranjene iz zahtev za storitve NPM, danih v dnevnik. Domnevno je bila napaka odpravljena in dnevniki počiščeni pred napadom na NPM. Samo nekateri zaposleni v GitHubu so imeli dostop do dnevnikov, ki so vključevali javna gesla.
Vir: opennet.ru