GitHub publikoi rezultatet e një analize të sulmit, si rezultat i së cilës më 12 prill, sulmuesit fituan akses në mjediset cloud në shërbimin Amazon AWS të përdorur në infrastrukturën e projektit NPM. Analiza e incidentit tregoi se sulmuesit fituan akses në kopjet rezervë të hostit skimdb.npmjs.com, duke përfshirë një kopje rezervë të bazës së të dhënave me kredencialet për afërsisht 100 mijë përdorues NPM që nga viti 2015, duke përfshirë hash fjalëkalimet, emrat dhe emailin.
Hash-et e fjalëkalimeve u krijuan duke përdorur algoritmet e kripura PBKDF2 ose SHA1, të cilat u zëvendësuan në vitin 2017 nga bcrypt më brutale rezistente ndaj forcës. Pasi u identifikua incidenti, fjalëkalimet e prekura u rivendosën dhe përdoruesit u njoftuan për të vendosur një fjalëkalim të ri. Meqenëse verifikimi i detyrueshëm me dy faktorë me konfirmimin e emailit është përfshirë në NPM që nga 1 marsi, rreziku i kompromisit të përdoruesit vlerësohet si i parëndësishëm.
Përveç kësaj, të gjithë skedarët e manifestit dhe meta të dhënat e paketave private që nga prilli 2021, skedarët CSV me një listë të përditësuar të të gjithë emrave dhe versioneve të paketave private, si dhe përmbajtjet e të gjitha paketave private të dy klientëve GitHub (emrat nuk bëhen të ditura) ra në duart e sulmuesve. Sa i përket vetë depove, analiza e gjurmëve dhe verifikimi i hasheve të paketave nuk zbuloi se sulmuesit bënin ndryshime në paketat NPM ose publikonin versione të reja fiktive të paketave.
Sulmi ndodhi më 12 prill duke përdorur tokenat e vjedhura OAuth të krijuara për dy integrues të palëve të treta GitHub, Heroku dhe Travis-CI. Duke përdorur tokenat, sulmuesit ishin në gjendje të nxirrnin nga depot private të GitHub çelësin për të hyrë në API të Shërbimeve Ueb të Amazon, të përdorura në infrastrukturën e projektit NPM. Çelësi rezultues lejoi qasjen në të dhënat e ruajtura në shërbimin AWS S3.
Për më tepër, informacioni u zbulua në lidhje me problemet serioze të konfidencialitetit të identifikuara më parë gjatë përpunimit të të dhënave të përdoruesve në serverët NPM - fjalëkalimet e disa përdoruesve të NPM, si dhe shenjat e aksesit të NPM, u ruajtën në tekst të qartë në regjistrat e brendshëm. Gjatë integrimit të NPM me sistemin e regjistrimit të GitHub, zhvilluesit nuk siguruan që informacioni i ndjeshëm të hiqej nga kërkesat për shërbimet NPM të vendosura në regjistër. Pretendohet se defekti është rregulluar dhe regjistrat janë pastruar para sulmit ndaj NPM. Vetëm disa punonjës të GitHub kishin akses në regjistrat, të cilët përfshinin fjalëkalime publike.
Burimi: opennet.ru