100.000 account npm sono stati rubati da GitHub

Secondo GitHub, a seguito di un hack di aprile che utilizzava i token Heroku OAuth e Travis-CI, gli aggressori hanno rubato i dati di autorizzazione per circa 100.000 account npm.

Gli hacker hanno rubato con successo i dati da repository privati ​​appartenenti a dozzine di organizzazioni.

Sono stati in grado di ottenere un ulteriore accesso utilizzando una chiave di accesso AWS compromessa ottenuta dopo aver scaricato molti repository npm privati ​​utilizzando token OAuth rubati nella prima fase dell’attacco.

Secondo Greg Ose, Senior Director of Secure Product Development di GitHub, durante l’indagine è emerso che ignoti hanno rubato i seguenti dati dallo storage cloud di npm:

• Circa 100mila nomi utente, hash password e indirizzi email dall’archivio per il 2015;
• Tutti i manifest e i metadati dei pacchetti privati ​​a partire dal 7 aprile 2021;
• Nomi e semVer delle versioni pubblicate di tutti i pacchetti privati ​​a partire dal 10 aprile 2022;
• Pacchetti privati ​​di due organizzazioni.

Sebbene le password sono in hash con algoritmi deboli (PBKDF2 o SHA1 con un salt) e possano essere facilmente violate, i tentativi di hackerare gli account verranno automaticamente bloccati dal meccanismo di verifica dell’e-mail abilitato per impostazione predefinita per ogni account privo di autenticazione a due fattori.

Un’analisi dei registri degli eventi e degli hash per tutte le versioni dei pacchetti npm ha mostrato che gli aggressori non hanno modificato o pubblicato nuovi pacchetti o nuove versioni di pacchetti esistenti nel registro.

GitHub ha reimpostato tutte le password degli utenti npm interessati e li ha notificati di conseguenza.

Durante le indagini sull’hacking di aprile, GitHub ha anche trovato credenziali non crittografate nei registri interni dei servizi npm, inclusi token di accesso npm, un numero limitato di password per account npm e token di accesso GitHub personali inviati ai servizi npm.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.