GitHub దాడి యొక్క విశ్లేషణ ఫలితాలను ప్రచురించింది, దీని ఫలితంగా ఏప్రిల్ 12న, దాడి చేసేవారు NPM ప్రాజెక్ట్ యొక్క అవస్థాపనలో ఉపయోగించే Amazon AWS సేవలో క్లౌడ్ పరిసరాలకు ప్రాప్యతను పొందారు. 100 నాటికి పాస్వర్డ్ హాష్లు, పేర్లు మరియు ఇమెయిల్లతో సహా సుమారు 2015 వేల మంది NPM వినియోగదారులకు ఆధారాలతో కూడిన డేటాబేస్ బ్యాకప్తో సహా skimdb.npmjs.com హోస్ట్ యొక్క బ్యాకప్ కాపీలకు దాడి చేసేవారు యాక్సెస్ పొందారని సంఘటన యొక్క విశ్లేషణ చూపింది.
పాస్వర్డ్ హ్యాష్లు సాల్టెడ్ PBKDF2 లేదా SHA1 అల్గారిథమ్లను ఉపయోగించి సృష్టించబడ్డాయి, ఇవి 2017లో మరింత బ్రూట్ ఫోర్స్-రెసిస్టెంట్ bcrypt ద్వారా భర్తీ చేయబడ్డాయి. సంఘటన గుర్తించబడిన తర్వాత, ప్రభావితమైన పాస్వర్డ్లు రీసెట్ చేయబడ్డాయి మరియు కొత్త పాస్వర్డ్ను సెట్ చేయమని వినియోగదారులకు తెలియజేయబడింది. ఇమెయిల్ నిర్ధారణతో తప్పనిసరి రెండు-కారకాల ధృవీకరణ మార్చి 1 నుండి NPMలో చేర్చబడినందున, వినియోగదారు రాజీ ప్రమాదం చాలా తక్కువగా అంచనా వేయబడింది.
అదనంగా, ఏప్రిల్ 2021 నాటికి ప్రైవేట్ ప్యాకేజీల యొక్క అన్ని మానిఫెస్ట్ ఫైల్లు మరియు మెటాడేటా, CSV ఫైల్లు అన్ని పేర్లు మరియు ప్రైవేట్ ప్యాకేజీల సంస్కరణల యొక్క తాజా జాబితాతో పాటు రెండు GitHub క్లయింట్ల (పేర్లు) యొక్క అన్ని ప్రైవేట్ ప్యాకేజీల కంటెంట్లు వెల్లడించలేదు) దాడి చేసేవారి చేతుల్లోకి పడింది. రిపోజిటరీ విషయానికొస్తే, ట్రేస్ల విశ్లేషణ మరియు ప్యాకేజీ హ్యాష్ల ధృవీకరణ దాడి చేసేవారు NPM ప్యాకేజీలకు మార్పులు చేయడం లేదా ప్యాకేజీల యొక్క కల్పిత కొత్త వెర్షన్లను ప్రచురించడం బహిర్గతం చేయలేదు.
ఇద్దరు థర్డ్-పార్టీ GitHub ఇంటిగ్రేటర్లు, Heroku మరియు Travis-CI కోసం రూపొందించబడిన దొంగిలించబడిన OAuth టోకెన్లను ఉపయోగించి ఏప్రిల్ 12న దాడి జరిగింది. టోకెన్లను ఉపయోగించి, దాడి చేసేవారు ప్రైవేట్ GitHub రిపోజిటరీల నుండి NPM ప్రాజెక్ట్ ఇన్ఫ్రాస్ట్రక్చర్లో ఉపయోగించిన Amazon Web Services APIని యాక్సెస్ చేయడానికి కీని సంగ్రహించగలిగారు. ఫలితంగా వచ్చిన కీ AWS S3 సేవలో నిల్వ చేయబడిన డేటాకు యాక్సెస్ను అనుమతించింది.
అదనంగా, NPM సర్వర్లలో వినియోగదారు డేటాను ప్రాసెస్ చేస్తున్నప్పుడు గతంలో గుర్తించిన తీవ్రమైన గోప్యత సమస్యల గురించి సమాచారం బహిర్గతం చేయబడింది - కొంతమంది NPM వినియోగదారుల పాస్వర్డ్లు అలాగే NPM యాక్సెస్ టోకెన్లు అంతర్గత లాగ్లలో స్పష్టమైన వచనంలో నిల్వ చేయబడ్డాయి. GitHub లాగింగ్ సిస్టమ్తో NPM ఏకీకరణ సమయంలో, లాగ్లో ఉంచబడిన NPM సేవలకు అభ్యర్థనల నుండి సున్నితమైన సమాచారం తీసివేయబడుతుందని డెవలపర్లు నిర్ధారించలేదు. ఎన్పిఎంపై దాడికి ముందే లోపాన్ని సరిదిద్దారని మరియు చిట్టాలు తొలగించారని ఆరోపించారు. నిర్దిష్ట GitHub ఉద్యోగులు మాత్రమే పబ్లిక్ పాస్వర్డ్లను కలిగి ఉన్న లాగ్లకు యాక్సెస్ కలిగి ఉన్నారు.
మూలం: opennet.ru