100.000 account npm sono stati rubati da GitHub

Redazione RHC : 31 Maggio 2022 08:37

Secondo GitHub, a seguito di un hack di aprile che utilizzava i token Heroku OAuth e Travis-CI, gli aggressori hanno rubato i dati di autorizzazione per circa 100.000 account npm.

Gli hacker hanno rubato con successo i dati da repository privati ​​appartenenti a dozzine di organizzazioni.

Sono stati in grado di ottenere un ulteriore accesso utilizzando una chiave di accesso AWS compromessa ottenuta dopo aver scaricato molti repository npm privati ​​utilizzando token OAuth rubati nella prima fase dell’attacco.

Sei un Esperto di Formazione?
Entra anche tu nel Partner program! Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Secondo Greg Ose, Senior Director of Secure Product Development di GitHub, durante l’indagine è emerso che ignoti hanno rubato i seguenti dati dallo storage cloud di npm:

• Circa 100mila nomi utente, hash password e indirizzi email dall’archivio per il 2015;
• Tutti i manifest e i metadati dei pacchetti privati ​​a partire dal 7 aprile 2021;
• Nomi e semVer delle versioni pubblicate di tutti i pacchetti privati ​​a partire dal 10 aprile 2022;
• Pacchetti privati ​​di due organizzazioni.

Sebbene le password sono in hash con algoritmi deboli (PBKDF2 o SHA1 con un salt) e possano essere facilmente violate, i tentativi di hackerare gli account verranno automaticamente bloccati dal meccanismo di verifica dell’e-mail abilitato per impostazione predefinita per ogni account privo di autenticazione a due fattori.

Un’analisi dei registri degli eventi e degli hash per tutte le versioni dei pacchetti npm ha mostrato che gli aggressori non hanno modificato o pubblicato nuovi pacchetti o nuove versioni di pacchetti esistenti nel registro.

GitHub ha reimpostato tutte le password degli utenti npm interessati e li ha notificati di conseguenza.

Durante le indagini sull’hacking di aprile, GitHub ha anche trovato credenziali non crittografate nei registri interni dei servizi npm, inclusi token di accesso npm, un numero limitato di password per account npm e token di accesso GitHub personali inviati ai servizi npm.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli