Dịch vụ lưu trữ kho lưu trữ dựa trên đám mây GitHub hôm thứ Sáu đã chia sẻ thêm chi tiết về vụ trộm mã thông báo oauth tích hợp GitHub vào tháng trước, lưu ý rằng kẻ tấn công có thể truy cập dữ liệu NPM nội bộ và thông tin khách hàng của nó.
Greg Ose cho biết: “Sử dụng mã thông báo người dùng OAuth bị đánh cắp có nguồn gốc từ hai nhà tích hợp bên thứ ba, Heroku và Travis CI, kẻ tấn công có thể nâng cao quyền truy cập vào cơ sở hạ tầng NPM”.
Bản sao lưu cơ sở dữ liệu của skimdb.npmjs.com bao gồm dữ liệu kể từ ngày 7 tháng 4 năm 2021, bao gồm kho lưu trữ thông tin người dùng từ năm 2015 và tất cả các tệp kê khai gói NPM riêng tư và siêu dữ liệu gói. Tệp lưu trữ chứa tên người dùng NPM, băm mật khẩu và địa chỉ email cho khoảng 100.000 người dùng Một tập hợp các tệp CSV bao gồm một kho lưu trữ tất cả các tên và số phiên bản của các phiên bản đã xuất bản của tất cả các gói riêng tư NPM kể từ ngày 10 tháng 4 năm 2022 và A “tập con nhỏ “trong số các gói riêng từ hai tổ chức
Do đó, GitHub đang thực hiện bước đặt lại mật khẩu của những người dùng bị ảnh hưởng. Nó cũng dự kiến sẽ thông báo trực tiếp cho người dùng về các tệp kê khai gói riêng tư bị lộ, siêu dữ liệu, tên và phiên bản gói riêng tư trong vài ngày tới.
Chuỗi tấn công, như được GitHub trình bày chi tiết, liên quan đến việc kẻ tấn công lạm dụng mã thông báo OAuth để lấy sạch các kho lưu trữ NPM riêng tư có chứa khóa truy cập AWS và sau đó lợi dụng chúng để truy cập trái phép vào cơ sở hạ tầng của sổ đăng ký.
Điều đó nói rằng, không có gói nào được xuất bản lên sổ đăng ký được cho là đã được sửa đổi bởi đối thủ cũng như không có bất kỳ phiên bản mới nào của các gói hiện có được tải lên kho lưu trữ.
Ngoài ra, công ty cho biết cuộc điều tra về cuộc tấn công mã thông báo OAuth đã tiết lộ một vấn đề không liên quan liên quan đến việc phát hiện ra “số lượng thông tin xác thực người dùng bản rõ cho sổ đăng ký npm đã được ghi lại trong nhật ký nội bộ sau khi tích hợp npm vào hệ thống ghi nhật ký GitHub.”
GitHub lưu ý rằng nó đã giảm thiểu sự cố trước khi phát hiện ra chiến dịch tấn công và nó đã xóa các bản ghi có chứa thông tin xác thực bản rõ.
Vụ trộm OAuth, được GitHub phát hiện vào ngày 12 tháng 4, liên quan đến một diễn viên không xác định lợi dụng mã thông báo người dùng OAuth bị đánh cắp được cấp cho hai nhà tích hợp OAuth bên thứ ba, Heroku và Travis-CI, để tải xuống dữ liệu từ hàng chục tổ chức, bao gồm cả NPM.
Công ty con thuộc sở hữu của Microsoft, hồi đầu tháng này, đã gọi chiến dịch này về bản chất là “được nhắm mục tiêu cao”, đồng thời nói thêm “kẻ tấn công chỉ liệt kê các tổ chức nhằm xác định các tài khoản để nhắm mục tiêu có chọn lọc để liệt kê và tải xuống các kho lưu trữ cá nhân.”
Heroku kể từ đó đã thừa nhận rằng việc đánh cắp mã thông báo OAuth tích hợp GitHub liên quan đến việc truy cập trái phép vào cơ sở dữ liệu khách hàng nội bộ, khiến công ty phải đặt lại tất cả mật khẩu người dùng.
.
