Criminelen stalen bij de npm-aanval in april gebruikersnamen, gehashte wachtwoorden en e-mailadressen van ongeveer 100.000 npm-gebruikers. De aanvallers gebruikten daarvoor OAuth-tokens die ze van twee externe diensten hadden gestolen.
Met de OAuth-token wisten de aanvallers toegang te krijgen tot npm-repo's, schrijft npm's moederbedrijf GitHub. Daar wisten ze toegang te krijgen tot AWS-accesskeys. Binnen de AWS-infrastructuur van npm wisten de aanvallers oudere back-ups van het JavaScript-ontwikkelaarsplatform npm te downloaden, met metadata en package manifests voor alle publieke en privépackages tot april 2021. Het gaat daarbij om readme-bestanden, package-versiegeschiedenissen, maintainer-e-mailadressen en package-installeerscripts. De package artifacts zelf zaten hier niet in.
In deze back-up zat ook een archief met npm-gebruikersinfo uit 2015. Hierin was login-informatie van ongeveer 100.000 npm-gebruikers te vinden. Het gaat hierbij om gebruikersnamen, e-mailadressen en gehashte wachtwoorden. Die wachtwoorden waren met PBKDF2 gehasht of met een salted SHA1-algoritme. GitHub zegt dat deze zwakke hashingalgoritmes sinds 2017 niet meer worden gebruikt, toen npm overstapte naar bcrypt.
Npm heeft de wachtwoorden van deze 100.000 gebruikers gereset en ze worden per mail ingelicht over het datalek. Sinds maart dit jaar is mailverificatie verplicht bij accounts zonder tweefactorauthenticatie. GitHub zegt geen bewijs te hebben dat de aanvallers packages hebben aangepast of nieuwe versies van bestaande packages hebben gepubliceerd.
GitHub schreef begin april voor het eerst over het OAuth-beveiligingsincident, waarbij hackers OAuth-tokens gebruikten van Heroku en Travic-CI. Hiermee downloadden ze data uit privérepo's op GitHub. Heroku ontdekte dat wachtwoorden van gebruikers zijn gestolen en resette daarna alle gebruikersaccounts.
Los van het OAuth-onderzoek ontdekte GitHub dat bepaalde inloggegevens in plaintext werden opgeslagen bij een intern loggingsysteem voor npm-diensten. Het gaat hierbij om een 'klein aantal' wachtwoorden. GitHub benadrukt dat er geen bewijs is dat aanvallers toegang hadden tot deze data en dat deze alleen ingezien kon worden door GitHub-werknemers. GitHub gaat de getroffenen informeren, heeft de data verwijderd en zegt zijn proces voor het opruimen van loggingdata te hebben verbeterd.
Bron: Tweakers.net