The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

GitHub раскрыл данные о взломе инфраструктуры NPM и выявлении открытых паролей в логах

27.05.2022 18:19

Компания GitHub опубликовала результаты разбора атаки, в результате которой 12 апреля злоумышленники получили доступ к облачным окружениям в сервисе Amazon AWS, используемым в инфраструктуре проекта NPM. Анализ инцидента показал, что атакующие получили доступ к резервным копиям хоста skimdb.npmjs.com и в том числе к резервной копии БД с учётными данными примерно 100 тысяч пользователей NPM по состоянию на 2015 год, включающим хэши паролей, имена и email.

Хэши паролей были созданы с использованием алгоритмов PBKDF2 или SHA1 с солью, которые в 2017 году были замены на более стойкий к подбору bcrypt. После выявления инцидента охваченные утечкой пароли были сброшены, а пользователям отправлено уведомление о необходимости установки нового пароля. Так как с 1 марта в NPM включена обязательная двухфакторная верификация с подтверждением по email, опасность компрометации пользователей оценивается как незначительная.

Кроме того, в руки атакующих попали все манифест-файлы и метаданные приватных пакетов по состоянию на апрель 2021 года, CSV-файлы с актуальным списком всех имён и версий приватных пакетов, а также содержимое всех приватных пакетов двух клиентов GitHub (имена не раскрываются). Что касается самого репозитория, то анализ следов и верификация хэшей пакетов не выявил внесения атакующими изменений в NPM-пакеты и публикации фиктивных новых версий пакетов.

Атака была совершена 12 апреля с использованием украденных токенов OAuth, сгенерированных для двух сторонних GitHub-интеграторов - Heroku и Travis-CI. Воспользовавшись токенами атакующие смогли извлечь из приватных репозиториев GitHub ключ для доступа к API Amazon Web Services, используемый в инфраструктуре проекта NPM. Полученный ключ позволил получить доступ к данным, хранящимся в сервисе AWS S3.

Дополнительно раскрыты сведения о ранее выявленных серьёзных проблемах с конфиденциальностью при обработке данных пользователей на серверах NPM - во внутренних логах в открытом виде сохранялись пароли некоторых пользователей NPM, а также токены доступа к NPM. В ходе интеграции NPM с системой ведения логов GitHub разработчики не обеспечили вырезание конфиденциальной информации из помещаемых в лог запросов к сервисам NPM. Утверждается, что недоработка была устранена, а логи очищены ещё до атаки на NPM. Доступ к логам, включающим открытые пароли, имели лишь отдельные сотрудники GitHub.

  1. Главная ссылка к новости (https://github.blog/2022-05-26...)
  2. OpenNews: Уязвимость в репозитории NPM, позволяющая добавить сопровождающего без подтверждения
  3. OpenNews: Атака на GitHub, приведшая к утечке приватных репозиториев и доступу к инфраструктуре NPM
  4. OpenNews: Уязвимость, позволявшая выпустить обновление для любого пакета в репозитории NPM
  5. OpenNews: В сеть попали исходные коды GitHub и GitHub Enterprise
  6. OpenNews: В GitHub устранена уязвимость, допускающая внедрение кода в любой репозиторий
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/57263-npm
Ключевые слова: npm, github, attack
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (24) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 18:59, 27/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >Атака была совершена 12 апреля с использованием украденных токенов OAuth

    OAuth сказала: - Поехали.

     
     
  • 2.4, Аноним (4), 19:07, 27/05/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Мы ещё описаемся, когда окажется, что кому-то из накоммитивших сменят симку.
     
     
  • 3.25, Аноним (-), 11:19, 28/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Точнее загонят этот номер через левый гейт. И все herokuapp'нется немного в i++'й раз.
     
  • 2.8, Аноним (8), 19:48, 27/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > GitHub разработчики не обеспечили вырезание конфиденциальной информации из помещаемых в лог запросов

    Всё, что надо знать о компетентности гитхаб.

     
     
  • 3.22, Аноним (22), 06:31, 28/05/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Принимают решения обычно на высоком уровне, а понимают проблему на низком.
    Все о чем тут можно говорить, так это только о хреновой двухсторонней связи.
    Начальники считают себя умными (как обычно) и не считают важным и нужным поговорить со специалистами.

    Как обычно в Microsoft одна нога не знает где другая, а в результате все тело упало.
    Обынчый рассинзрон...

     
     
  • 4.27, InuYasha (??), 15:05, 28/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Скорее уж так: управляющие на публику говорят "мы обезличим все данные", а приказ не выписывают. И на все "давайте мы сделаем/сделали и готовы выкатить" включают тормоза. Если не понятно, то всё это делается специально. В итоге - данные остаются, а когда случится проjб - виноваты программисты, админы и бюрократы.
     
  • 4.31, Атон (?), 07:05, 31/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Как обычно в Microsoft одна нога не знает где другая, а в результате все тело упало.

    При чем тут микрософт?

    >>> Microsoft is acquiring GitHub   June 4, 2018
    >> пользователей NPM по состоянию на 2015 год
    >> украденных токенов OAuth, сгенерированных для двух сторонних GitHub-интеграторов - Heroku и Travis-CI.

     

  • 1.2, Корец (?), 19:04, 27/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –10 +/
    Когда уже начнут выбрасывать поддержку парольной авторизации повсеместно и вместо неё использовать авторизацию по ключу?
     
     
  • 2.5, пох. (?), 19:24, 27/05/2022 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Уже. OAuth - это вот ключ такой. Наслаждайся результатами.

    А от сп-ных хэшей паролей - что характерно, толку сп-вшим - никакого. Вот и думай, если еще есть, чем. Хотя, куда тебе...


     
     
  • 3.15, Корец (?), 21:34, 27/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Наслаждайся результатами.

    Так уже.

    >Вот и думай, если еще есть, чем. Хотя, куда тебе...

    До тебя? Действительно...

     
     
  • 4.29, КО (?), 16:10, 28/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Аргумент конечно же железный, я аж прослезился.
     

  • 1.3, Аноним (4), 19:05, 27/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Чё, пацаны, девляпс? Децентрализованый гитхап? Удобные язычки с удобными пакетными менеджерами?
     
     
  • 2.6, пох. (?), 19:26, 27/05/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, опять проклятая microsoft во всем виновата.

    Ой, а кто ж это прогадил токены и писал в логи пароли? Ну все равно виновата microsoft - она ж корпорация, зла! Как тут перепутаешь.

    В конце-концов, могла бы просто сделать вид что не заметила.

     

  • 1.7, Аноним (7), 19:37, 27/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Хе, ну надо же, они наконец то узнали, что резервные копии нужно защищать так же как прод, а то и лучше.


     
  • 1.9, Аноним (9), 20:09, 27/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ну атака не простая, тут не фишинг и не сторонний левый сервис.
    Скроее выглядит как небезопасное стечение обстоятельств, где атакующие
    смогли шаг за шагом пройти квест до получения доступа к S3.

    Не написано как был получен начальный доступ к хосту с бекапами.
    То что с марта включили 2фа их спасло видимо от большего фейла.

     
     
  • 2.11, Аноним (11), 20:12, 27/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Просто они знали что их процессы отстой. И заранее решили сделать 2фа.
     
     
  • 3.20, Kuromi (ok), 03:59, 28/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не, 2FA они решили навязать всем потому что им надоели прохладные истории вида "Обнаружили очередную пачку вредоносных изменений в пакетах Х Y Z, оказалось что аккаунты разработчиков взломали так как там был пароль "password"".
     

  • 1.12, Без аргументов (?), 20:50, 27/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Когда-нить кто-нить удалит этот NPM вместе с бэкапами или нет?
     
     
  • 2.13, Без аргументов (?), 20:51, 27/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А то файловая запись занимает больше места на диске, чем содержится кода в содержимом пакетов.
     
     
  • 3.14, FSA (??), 21:29, 27/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > А то файловая запись занимает больше места на диске, чем содержится кода в содержимом пакетов.

    Реально насмешил :) Я когда на код некоторых пакетов смотрел именно так и думал.

     
     
  • 4.16, пох. (?), 23:11, 27/05/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >> А то файловая запись занимает больше места на диске, чем содержится кода в содержимом пакетов.
    > Реально насмешил :) Я когда на код некоторых пакетов смотрел именно так
    > и думал.

    зато у лефтпада три миллиона скачиваний! А чего добился в жизни ты?!

     
     
  • 5.17, Без аргументов (?), 01:35, 28/05/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А у чикатило вообще мировая известность, и чё?
     

  • 1.26, Аноним (26), 12:29, 28/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >во внутренних логах в открытом виде сохранялись пароли некоторых пользователей NPM, а также токены доступа к NPM.

    Вот именно поэтому надо использовать https://cfrg.github.io/draft-irtf-cfrg-opaque/draft-irtf-cfrg-opaque.html

     
  • 1.28, InuYasha (??), 15:07, 28/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Да горел бы уже этот NPM синем пламенем!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру