GitHub 发布了攻击分析结果,12 月 100 日,攻击者获得了对 NPM 项目基础设施中使用的 Amazon AWS 服务中云环境的访问权限。 对该事件的分析表明,攻击者获得了对skimdb.npmjs.com主机备份副本的访问权限,其中包括截至2015年大约XNUMX万名NPM用户的数据库备份,其中包含密码哈希、姓名和电子邮件。
密码哈希是使用加盐的 PBKDF2 或 SHA1 算法创建的,这些算法于 2017 年被更耐暴力破解的 bcrypt 取代。 一旦事件被发现,受影响的密码就会被重置,并通知用户设置新密码。 由于自 1 月 XNUMX 日起,NPM 中已包含通过电子邮件确认的强制两因素验证,因此用户受损的风险被评估为微不足道。
此外,截至 2021 年 XNUMX 月私有包的所有清单文件和元数据、包含私有包的所有名称和版本的最新列表的 CSV 文件,以及两个 GitHub 客户端(名称未公开)落入攻击者手中。 至于存储库本身,对跟踪的分析和对包哈希值的验证并没有发现攻击者对 NPM 包进行了更改或发布了虚构的新版本的包。
该攻击发生于 12 月 3 日,使用了为两个第三方 GitHub 集成商 Heroku 和 Travis-CI 生成的被盗 OAuth 令牌。 使用这些令牌,攻击者能够从私有 GitHub 存储库中提取访问 NPM 项目基础设施中使用的 Amazon Web Services API 的密钥。 生成的密钥允许访问存储在 AWS SXNUMX 服务中的数据。
此外,还披露了之前在 NPM 服务器上处理用户数据时发现的严重保密问题的信息 - 一些 NPM 用户的密码以及 NPM 访问令牌以明文形式存储在内部日志中。 在 NPM 与 GitHub 日志系统集成期间,开发人员没有确保从日志中放置的 NPM 服务请求中删除敏感信息。 据称,在 NPM 受到攻击之前,该漏洞已被修复并清除了日志。 只有某些 GitHub 员工可以访问日志,其中包括公共密码。
来源: opennet.ru