Durante uma violação de segurança em meados de abril, alguns invasores roubaram detalhes de login de 100 mil contas npm no GitHub.
O GitHub revelou hoje que um invasor roubou os detalhes de login de aproximadamente 100.000 contas npm durante uma violação de segurança em meados de abril com a ajuda de tokens de aplicativos OAuth roubados emitidos para Heroku e Travis-CI.
O agente da ameaça violou com sucesso dados exfiltrados de repositórios privados pertencentes a dezenas de organizações.
Invasores roubaram detalhes de login de 100 mil contas npm no GitHub
O GitHub divulgou essa violação de segurança em 15 de abril, três dias após descobrir o ataque, quando o agente malicioso obteve acesso à infraestrutura de produção npm.
O agente da ameaça escalou seu acesso usando uma chave de acesso da AWS comprometida, adquirida após o download de vários repositórios npm privados usando os tokens de usuário OAuth roubados no estágio inicial do ataque.
Depois que a violação foi descoberta, GitHub, Travis CI, e Heroku revogaram todos os tokens OAuth para bloquear outras tentativas de hackers.
Agora, Greg Ose, diretor sênior de engenharia de segurança de produtos do GitHub, disse que a empresa descobriu durante a investigação que os agentes de ameaças desconhecidos roubaram os seguintes dados do armazenamento em nuvem npm:
- Aproximadamente 100k npm de nomes de usuário, hashes de senha e endereços de e-mail de um arquivo de 2015 de informações do usuário.
- Todos os manifestos e metadados de pacotes privados em 7 de abril de 2021.
- Nomes e o semVer de versões publicadas de todos os pacotes privados em 10 de abril de 2022.
- Pacotes privados de duas organizações.
No entanto, embora os hashes de senha tenham sido gerados usando algoritmos de hash fracos (ou seja, PBKDF2 ou SHA1 salgado) e possam ser quebrados para assumir contas, essas tentativas serão bloqueadas automaticamente pela verificação de e-mail habilitada em todas as contas desde 1º de março de 2022, se elas não estão inscritos no 2FA.
Após análise de log e evento e verificação de hashes para todas as versões de pacote npm, o GitHub “está atualmente confiante de que o ator não modificou nenhum pacote publicado no registro ou publicou novas versões em pacotes existentes”.
O GitHub redefiniu todas as senhas pertencentes aos usuários npm afetados e notifica todas as organizações e usuários cujos dados foram acessados pelo invasor.
Aqueles que desejam girar seus tokens npm podem seguir as etapas detalhadas aqui. Você também pode redefinir a senha da sua conta npm manualmente acessando aqui.
Ao investigar a violação do OAuth de abril, o GitHub diz que também encontrou algumas credenciais de texto simples armazenadas em logs internos para serviços npm.
Felizmente, apenas os funcionários do GitHub tiveram acesso a essas informações enquanto esses detalhes de login foram expostos.
Os dados de credenciais encontrados em logs internos incluem tokens de acesso npm, um pequeno número de senhas de texto simples usadas para entrar em contas npm e alguns tokens de acesso pessoal do GitHub enviados para serviços npm.
Segundo Greg Ose:
“Após uma descoberta interna e uma investigação adicional não relacionada ao ataque do token OAuth, o GitHub descobriu várias credenciais de usuário de texto simples para o registro npm que foram capturadas em logs internos após a integração do npm nos sistemas de log do GitHub.”
“Esse problema foi mitigado e os logs contendo as credenciais de texto simples foram eliminados antes do ataque ao npm.”
