GitHub раскрыл данные о взломе инфраструктуры NPM и выявлении открытых паролей в логах
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Компания GitHub опубликовала результаты разбора атаки, в результате которой 12 апреля злоумышленники получили доступ к облачным окружениям в сервисе Amazon AWS, используемым в инфраструктуре проекта NPM. Анализ инцидента показал, что атакующие получили доступ к резервным копиям хоста skimdb.npmjs.com и в том числе к резервной копии БД с учётными данными примерно 100 тысяч пользователей NPM по состоянию на 2015 год, включающим хэши паролей, имена и email.
Хэши паролей были созданы с использованием алгортимов PBKDF2 или SHA1 с солью, которые в 2017 году были замены на более стойкий к подбору bcrypt. После выявления инцидента охваченные утечкой пароли были сброшены, а пользователям отправлено уведомление о необходимости установки нового пароля. Так как с 1 марта в NPM включена обязательная двухфакторная верификация с подтверждением по email опасность компрометации пользователей оценивается как незначительная.
Кроме того, в руки атакующих попали все манифест-файлы и метаданные приватных пакетов по состоянию на апрель 2021 года, CSV-файлы с актуальным списком всех имён и версий приватных пакетов, а также содержимое всех приватных пакетов двух клиентов GitHub (имена не раскрываются). Что касается самого репозитория, то анализ следов и верификация хэшей пакетов не выявил внесения атакующими изменений в NPM-пакеты и публикации фиктивных новых версий пакетов.
Атака была совершена 12 апреля с использованием украденных токенов OAuth, сгенерированных для двух сторонних GitHub-интеграторов - Heroku и Travis-CI. Воспользовавшись токенами атакующие смогли извлечь из приватных репозиториев GitHub ключ для доступа к API Amazon Web Services, используемый в инфраструктуре проекта NPM. Полученный ключ позволил получить доступ к данным, хранящимся в сервисе AWS S3.
Дополнительно раскрыты сведения о ранее выявленных серьёзных проблемах с конфиденциальностью при обработке данных пользователей на серверах NPM - во внутренних логах в открытом виде сохранялись пароли некоторых пользователей NPM, а также токены доступа к NPM. В ходе интеграции NPM с системой ведения логов GitHub разработчики не обеспечили вырезание конфиденциальной информации из помещаемых в лог запросов к сервисам NPM. Утверждается, что недоработка была устранена, а логи очищены ещё до атаки на NPM. Доступ к логам, включающим открытые пароли, имели лишь отдельные сотрудники GitHub.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://github.blog/2022-05-26...)
- OpenNews: Уязвимость в репозитории NPM, позволяющая добавить сопровождающего без подтверждения
- OpenNews: Атака на GitHub, приведшая к утечке приватных репозиториев и доступу к инфраструктуре NPM
- OpenNews: Уязвимость, позволявшая выпустить обновление для любого пакета в репозитории NPM
- OpenNews: В сеть попали исходные коды GitHub и GitHub Enterprise
- OpenNews: В GitHub устранена уязвимость, допускающая внедрение кода в любой репозиторий
Похожие новости:
- Атака на немецкие компании через NPM-пакеты
- GitHub переходит на использование обязательной двухфакторной аутентификации
- GitHub обновил правила, касающиеся торговых санкций
- Уязвимость в репозитории NPM, позволяющая добавить сопровождающего без подтверждения
- Выпуск СУБД libmdbx 0.11.7. Перенос разработки на GitFlic после блокировки в GitHub
- GitHub заблокировал репозиторий SymPy после ложной жалобы
- Атака на GitHub, приведшая к утечке приватных репозиториев и доступу к инфраструктуре NPM
- GitHub реализовал возможность упреждающей блокировки утечек токенов к API
- В NPM-пакет node-ipc внесено вредоносное изменение, удаляющее файлы на системах в России и Белоруссии
- GitHub внедрил систему машинного обучения для поиска уязвимостей в коде
Теги для поиска: #_npm, #_github, #_attack
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 08:30
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Компания GitHub опубликовала результаты разбора атаки, в результате которой 12 апреля злоумышленники получили доступ к облачным окружениям в сервисе Amazon AWS, используемым в инфраструктуре проекта NPM. Анализ инцидента показал, что атакующие получили доступ к резервным копиям хоста skimdb.npmjs.com и в том числе к резервной копии БД с учётными данными примерно 100 тысяч пользователей NPM по состоянию на 2015 год, включающим хэши паролей, имена и email. Хэши паролей были созданы с использованием алгортимов PBKDF2 или SHA1 с солью, которые в 2017 году были замены на более стойкий к подбору bcrypt. После выявления инцидента охваченные утечкой пароли были сброшены, а пользователям отправлено уведомление о необходимости установки нового пароля. Так как с 1 марта в NPM включена обязательная двухфакторная верификация с подтверждением по email опасность компрометации пользователей оценивается как незначительная. Кроме того, в руки атакующих попали все манифест-файлы и метаданные приватных пакетов по состоянию на апрель 2021 года, CSV-файлы с актуальным списком всех имён и версий приватных пакетов, а также содержимое всех приватных пакетов двух клиентов GitHub (имена не раскрываются). Что касается самого репозитория, то анализ следов и верификация хэшей пакетов не выявил внесения атакующими изменений в NPM-пакеты и публикации фиктивных новых версий пакетов. Атака была совершена 12 апреля с использованием украденных токенов OAuth, сгенерированных для двух сторонних GitHub-интеграторов - Heroku и Travis-CI. Воспользовавшись токенами атакующие смогли извлечь из приватных репозиториев GitHub ключ для доступа к API Amazon Web Services, используемый в инфраструктуре проекта NPM. Полученный ключ позволил получить доступ к данным, хранящимся в сервисе AWS S3. Дополнительно раскрыты сведения о ранее выявленных серьёзных проблемах с конфиденциальностью при обработке данных пользователей на серверах NPM - во внутренних логах в открытом виде сохранялись пароли некоторых пользователей NPM, а также токены доступа к NPM. В ходе интеграции NPM с системой ведения логов GitHub разработчики не обеспечили вырезание конфиденциальной информации из помещаемых в лог запросов к сервисам NPM. Утверждается, что недоработка была устранена, а логи очищены ещё до атаки на NPM. Доступ к логам, включающим открытые пароли, имели лишь отдельные сотрудники GitHub. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 08:30
Часовой пояс: UTC + 5