31/05/22
Как сообщили представители сервиса GitHub, в результате апрельского взлома с помощью OAuth-токенов Heroku и Travis-CI злоумышленники похитили данные авторизации для порядка 100 тыс. учетных записей npm.
Хакеры успешно взломали и похитили данные из закрытых репозиториев, принадлежащих десяткам организаций. Им удалось получить дальнейший доступ с помощью скомпрометированного ключа доступа AWS, полученного после загрузки множества приватных репозиториев npm, используя на первом этапе атаки похищенные токены OAuth. Об этом пишет Securitylab.
По словам старшего директора по безопасной разработке продуктов GitHub Грега Осе (Greg Ose), в ходе расследования удалось установить, что неизвестные злоумышленники похитили из облачных хранилищ npm следующе данные:
- Порядка 100 тыс. имен пользователей, хэшей паролей и электронных адресов из архива за 2015 год;
- Все манифесты и метаданные приватных пакетов по состоянию на 7 апреля 2021 года;
- Имена и semVer изданных версий всех приватных пакетов по состоянию на 10 апреля 2022 года;
- Приватные пакеты двух организаций.
Несмотря на то, что пароли хэшированы с помощью слабых алгоритмов (PBKDF2 или SHA1 с добавлением соли) и могут быть с легкостью взломаны, попытки взлома учетных записей будут автоматически блокироваться механизмом верификации электронных адресов, по умолчанию включенном для каждой учетной записи, где отсутствует двухфакторная аутентификация.
Как показал анализ журналов событий и хэшей для всех версий пакетов npm, злоумышленники не модифицировали и не публиковали в реестре ни новые пакеты, ни новые версии уже существующих пакетов.
GitHub сбросил все пароли затронутых пользователей npm и уведомил их соответствующим образом.
В ходе расследования апрельского взлома специалисты GitHub также обнаружили во внутренних журналах сервисов npm учетные данные в незашифрованном виде, включая токены доступа npm, небольшое количество паролей для учетных записей npm и отправленные сервисам npm персональные токены доступа GitHub.
