Хакеры успешно взломали и похитили данные из закрытых репозиториев, принадлежащих десяткам организаций. Им удалось получить дальнейший доступ с помощью скомпрометированного ключа доступа AWS, полученного после загрузки множества приватных репозиториев npm, используя на первом этапе атаки похищенные токены OAuth. Об этом пишет Securitylab.
По словам старшего директора по безопасной разработке продуктов GitHub Грега Осе (Greg Ose), в ходе расследования удалось установить, что неизвестные злоумышленники похитили из облачных хранилищ npm следующе данные:
Несмотря на то, что пароли хэшированы с помощью слабых алгоритмов (PBKDF2 или SHA1 с добавлением соли) и могут быть с легкостью взломаны, попытки взлома учетных записей будут автоматически блокироваться механизмом верификации электронных адресов, по умолчанию включенном для каждой учетной записи, где отсутствует двухфакторная аутентификация.
Как показал анализ журналов событий и хэшей для всех версий пакетов npm, злоумышленники не модифицировали и не публиковали в реестре ни новые пакеты, ни новые версии уже существующих пакетов.
GitHub сбросил все пароли затронутых пользователей npm и уведомил их соответствующим образом.
В ходе расследования апрельского взлома специалисты GitHub также обнаружили во внутренних журналах сервисов npm учетные данные в незашифрованном виде, включая токены доступа npm, небольшое количество паролей для учетных записей npm и отправленные сервисам npm персональные токены доступа GitHub.