GitHub 發布了攻擊分析結果,12 月 100 日,攻擊者獲得了對 NPM 專案基礎設施中使用的 Amazon AWS 服務中雲端環境的存取權限。 對此事件的分析表明,攻擊者獲得了對skimdb.npmjs.com主機備份副本的存取權限,其中包括截至2015年約XNUMX萬名NPM用戶的資料庫備份,其中包含密碼雜湊、姓名和電子郵件。
密碼雜湊是使用加鹽的 PBKDF2 或 SHA1 演算法創建的,這些演算法於 2017 年被更耐暴力破解的 bcrypt 取代。 一旦事件被發現,受影響的密碼就會重置,並通知使用者設定新密碼。 由於自 1 月 XNUMX 日起,NPM 中已包含透過電子郵件確認的強制兩因素驗證,因此用戶受損的風險被評估為微不足道。
此外,截至 2021 年 XNUMX 月私有套件的所有清單文件和元資料、包含私有套件的所有名稱和版本的最新清單的 CSV 文件,以及兩個 GitHub 用戶端(名稱未公開)落入攻擊者手中。 至於儲存庫本身,對追蹤的分析和對套件雜湊值的驗證並沒有發現攻擊者對 NPM 套件進行了更改或發布了虛構的新版本的套件。
該攻擊發生於 12 月 3 日,使用了為兩個第三方 GitHub 整合商 Heroku 和 Travis-CI 產生的被盜 OAuth 令牌。 使用這些令牌,攻擊者能夠從私人 GitHub 儲存庫中提取存取 NPM 專案基礎架構中使用的 Amazon Web Services API 的金鑰。 產生的金鑰允許存取儲存在 AWS SXNUMX 服務中的資料。
此外,還揭露了先前在 NPM 伺服器上處理使用者資料時發現的嚴重保密問題的資訊 - 一些 NPM 使用者的密碼以及 NPM 存取權令牌以明文形式儲存在內部日誌中。 在 NPM 與 GitHub 日誌系統整合期間,開發人員沒有確保從日誌中放置的 NPM 服務請求中刪除敏感資訊。 據稱,在 NPM 受到攻擊之前,該漏洞已被修復並清除了日誌。 只有某些 GitHub 員工可以存取日誌,其中包括公共密碼。
來源: opennet.ru