GitHub publicerade resultatet av en analys av attacken, som ett resultat av vilken angripare den 12 april fick tillgång till molnmiljöer i Amazon AWS-tjänsten som används i NPM-projektets infrastruktur. Analys av incidenten visade att angriparna fick tillgång till säkerhetskopior av skimdb.npmjs.com-värden, inklusive en databassäkerhetskopiering med referenser för cirka 100 tusen NPM-användare från och med 2015, inklusive lösenordshaschar, namn och e-post.
Lösenordshaschar skapades med de saltade PBKDF2- eller SHA1-algoritmerna, som ersattes 2017 av den mer brute force-resistenta bcrypten. När incidenten identifierats återställdes de berörda lösenorden och användarna meddelades att de skulle ange ett nytt lösenord. Eftersom obligatorisk tvåfaktorsverifiering med e-postbekräftelse ingår i NPM sedan 1 mars bedöms risken för användarkompromiss som obetydlig.
Dessutom, alla manifestfiler och metadata för privata paket från och med april 2021, CSV-filer med en uppdaterad lista över alla namn och versioner av privata paket, samt innehållet i alla privata paket för två GitHub-klienter (namn avslöjas inte) föll i händerna på angriparna. När det gäller själva förvaret avslöjade inte analys av spår och verifiering av pakethaschar att angriparna gjorde ändringar i NPM-paket eller publicerade fiktiva nya versioner av paket.
Attacken ägde rum den 12 april med hjälp av stulna OAuth-tokens genererade för två tredjeparts GitHub-integratörer, Heroku och Travis-CI. Med hjälp av tokens kunde angriparna extrahera nyckeln för åtkomst till Amazon Web Services API från privata GitHub-lager, som används i NPM-projektets infrastruktur. Den resulterande nyckeln tillät åtkomst till data lagrad i AWS S3-tjänsten.
Dessutom avslöjades information om tidigare identifierade allvarliga sekretessproblem vid behandling av användardata på NPM-servrar - lösenorden för vissa NPM-användare, såväl som NPM-åtkomsttokens, lagrades i klartext i interna loggar. Under integrationen av NPM med GitHub-loggningssystemet säkerställde inte utvecklarna att känslig information togs bort från förfrågningar till NPM-tjänster som placerats i loggen. Det påstås att felet åtgärdades och stockarna rensades innan attacken mot NPM. Endast vissa GitHub-anställda hade tillgång till loggarna, som inkluderade offentliga lösenord.
Källa: opennet.ru