Inilathala ng GitHub ang mga resulta ng pagsusuri ng pag-atake, bilang resulta kung saan noong Abril 12, ang mga umaatake ay nakakuha ng access sa mga cloud environment sa serbisyo ng Amazon AWS na ginamit sa imprastraktura ng proyekto ng NPM. Ang pagsusuri sa insidente ay nagpakita na ang mga umaatake ay nakakuha ng access sa mga backup na kopya ng skimdb.npmjs.com host, kabilang ang isang backup ng database na may mga kredensyal para sa humigit-kumulang 100 libong NPM user noong 2015, kabilang ang mga hash ng password, mga pangalan at email.
Ginawa ang mga hash ng password gamit ang salted PBKDF2 o SHA1 algorithm, na pinalitan noong 2017 ng mas malupit na force-resistant bcrypt. Kapag natukoy na ang insidente, na-reset ang mga apektadong password at naabisuhan ang mga user na magtakda ng bagong password. Dahil ang mandatoryong dalawang-factor na pag-verify na may pagkumpirma sa email ay kasama sa NPM mula noong Marso 1, ang panganib ng kompromiso ng user ay tinatasa bilang hindi gaanong mahalaga.
Bilang karagdagan, lahat ng manifest file at metadata ng mga pribadong package simula Abril 2021, mga CSV file na may napapanahon na listahan ng lahat ng pangalan at bersyon ng mga pribadong package, pati na rin ang mga nilalaman ng lahat ng pribadong package ng dalawang GitHub client (mga pangalan ay hindi isiwalat) nahulog sa mga kamay ng mga umaatake. Tulad ng para sa repository mismo, ang pagsusuri ng mga bakas at pag-verify ng mga hashes ng package ay hindi nagpahayag ng mga umaatake na gumagawa ng mga pagbabago sa mga pakete ng NPM o nag-publish ng mga gawa-gawang bagong bersyon ng mga pakete.
Naganap ang pag-atake noong Abril 12 gamit ang mga ninakaw na OAuth token na nabuo para sa dalawang third-party na GitHub integrator, Heroku at Travis-CI. Gamit ang mga token, na-extract ng mga attacker mula sa mga pribadong GitHub repository ang susi para ma-access ang Amazon Web Services API, na ginamit sa imprastraktura ng proyekto ng NPM. Ang resultang key ay nagbigay-daan sa pag-access sa data na nakaimbak sa serbisyo ng AWS S3.
Bukod pa rito, isiniwalat ang impormasyon tungkol sa mga dating natukoy na seryosong problema sa pagiging kumpidensyal kapag nagpoproseso ng data ng user sa mga NPM server - ang mga password ng ilang user ng NPM, pati na ang mga NPM access token, ay naka-imbak sa malinaw na text sa mga panloob na log. Sa panahon ng pagsasama ng NPM sa GitHub logging system, hindi tiniyak ng mga developer na ang sensitibong impormasyon ay inalis mula sa mga kahilingan sa mga serbisyo ng NPM na inilagay sa log. Naayos na umano ang kapintasan at na-clear ang mga log bago ang pag-atake sa NPM. Ang ilang partikular na empleyado ng GitHub lang ang may access sa mga log, na kinabibilangan ng mga pampublikong password.
Pinagmulan: opennet.ru