Компанія GitHub опублікувала результати аналізу атаки, в результаті якої 12 квітня зловмисники отримали доступ до хмарних оточень у сервісі Amazon AWS, що використовуються в інфраструктурі проекту NPM. Аналіз інциденту показав, що атакуючі отримали доступ до резервних копій хоста skimdb.npmjs.com і в тому числі резервної копії БД з обліковими даними приблизно 100 тисяч користувачів NPM станом на 2015 рік, що включає хеші паролів, імена та email.
Хеші паролів були створені з використанням алгортимів PBKDF2 або SHA1 з сіллю, які в 2017 році були замінені на стійкіший до підбору bcrypt. Після виявлення інциденту охоплені витоком паролі було скинуто, а користувачам надіслано повідомлення про необхідність встановлення нового пароля. Так як з 1 березня в NPM включено обов'язкову двофакторну верифікацію з підтвердженням по email небезпека компрометації користувачів оцінюється як незначна.
Крім того, до рук атакуючих потрапили всі маніфест-файли та метадані приватних пакетів станом на квітень 2021 року, CSV-файли з актуальним списком усіх імен та версій приватних пакетів, а також вміст усіх приватних пакетів двох клієнтів GitHub (імена не розкриваються). Що стосується самого репозиторію, то аналіз слідів та верифікація хешів пакетів не виявив внесення атакуючими змін до NPM-пакетів та публікації фіктивних нових версій пакетів.
Атаку було здійснено 12 квітня з використанням вкрадених токенів OAuth, згенерованих для двох сторонніх GitHub-інтеграторів – Heroku та Travis-CI. Скориставшись токенами, атакуючі змогли витягти з приватних репозиторіїв GitHub ключ для доступу до API Amazon Web Services, який використовується в інфраструктурі проекту NPM. Отриманий ключ дозволив отримати доступ до даних, що зберігаються у сервісі AWS S3.
Додатково розкрито відомості про раніше виявлені серйозні проблеми з конфіденційністю при обробці даних користувачів на серверах NPM – у внутрішніх логах у відкритому вигляді зберігалися паролі деяких користувачів NPM, а також токени доступу до NPM. У ході інтеграції NPM з системою ведення логів GitHub розробники не забезпечили вирізання конфіденційної інформації з запитів, що містяться в лог, до сервісів NPM. Стверджується, що недоробку було усунуто, а логи очищені ще до атаки на NPM. Доступ до логів, які включали відкриті паролі, мали лише окремі співробітники GitHub.
Джерело: opennet.ru