Github bugün, bir saldırganın, Heroku ve Travis-Ci'ye verilen çalıntı OAuth uygulama jetonlarının yardımıyla Nisan ortası güvenlik ihlali sırasında yaklaşık 100.000 NPM hesabının giriş ayrıntılarını çaldığını açıkladı.
Tehdit oyuncusu, düzinelerce kuruluşa ait özel depolardan gelen verileri başarıyla ihlal etti ve söndürdü.
Github, kötü niyetli aktörün NPM üretim altyapısına erişim kazandığı saldırıyı keşfettikten üç gün sonra 15 Nisan'da bu güvenlik ihlalini açıkladı.
Tehdit oyuncusu, saldırının ilk aşamasında çalınan OAuth kullanıcı jetonlarını kullanarak birden fazla özel NPM depolarını indirdikten sonra edinilen, tehlikeye atılmış bir AWS ACHS Access anahtarını kullanarak erişimlerini artırdı.
İhlal keşfedildikten sonra Github, Travis CI ve Heroku, daha fazla hackleme girişimlerini engellemek için tüm OAuth jetonlarını iptal ettiler.
Bugün, GitHub'daki ürün güvenlik mühendisliği kıdemli direktörü Greg Ose, şirketin, bilinmeyen tehdit aktörlerinin NPM bulut depolamasından aşağıdaki verileri çaldığını araştırdığını söyledi:
Bununla birlikte, şifre karmalar zayıf karma algoritmaları (yani, PBKDF2 veya tuzlu SHA1) kullanılarak üretilmiş olsa da ve hesapları devralmak için çatlatılabilse de, bu tür denemeler, 1 Mart 2022'den bu yana tüm hesaplarda etkinleştirilmiş e -posta doğrulaması ile otomatik olarak engellenecektir. 2FA'ya kayıtlı değil.
Tüm NPM paket sürümleri için günlük ve olay analizi ve karma kontrol ettikten sonra, GitHub "şu anda aktörün kayıt defterinde yayınlanmış herhangi bir paket değiştirmediğinden veya mevcut paketlere yeni sürüm yayınlamadığından emindir."
GitHub, etkilenen NPM kullanıcılarına ait tüm parolaları sıfırladı ve verileri saldırgan tarafından erişilen tüm kuruluşları ve kullanıcıları bildirir.
NPM jetonlarınızı döndürmek isteyenler burada ayrıntılı olarak ayrıntılı olarak yapılan adımları takip edebilirler. Buraya giderek NPM hesap şifrenizi manuel olarak sıfırlayabilirsiniz.
Nisan OAuth ihlalini araştırırken Github, NPM hizmetleri için dahili günlüklerde depolanan bazı düz metin kimlik bilgileri de bulduğunu söylüyor.
Neyse ki, bu giriş bilgileri ortaya çıkarken sadece Github çalışanları bu bilgilere erişebildi.
Dahili günlüklerde bulunan kimlik bilgisi verileri, NPM erişim belirteçlerini, NPM hesaplarında oturum açmak için kullanılan az sayıda açık metin şifresi ve NPM hizmetlerine gönderilen bazı GitHub kişisel erişim belirteçlerini içerir.
OSE, "Bir dahili keşif ve OAuth jeton saldırısıyla ilgisi olmayan ek araştırmaların ardından Github, NPM'nin GitHub günlük kaydı sistemlerine entegrasyonunu takiben dahili günlüklerde yakalanan NPM kayıt defteri için bir dizi düz metin kullanıcı kimlik bilgilerini keşfetti."
Diyerek şöyle devam etti: "Bu sorun azaltıldı ve düz metin kimlik bilgilerini içeren kütükler NPM'ye saldırıdan önce temizlendi."
Github: Çalınan Oauth Jetons Düzinelerce Orgs'u ihlal etmeye nasıl yardımcı oldu
GitHub, OAuth Jetons kullanarak çalınan özel depoların sahiplerini bildirir
Github, NPM hesapları için gelişmiş 2FA deneyimini duyurdu
NPM Paketi Haftalık 1.4 milyon indirme ile kendi CDN için NPMJS.COM
Microsoft'un Azure SDK sitesi sahte paketi listelemek için kandırıldı
Kaynak: Bleeping Computer