GitHub compartió ayer viernes detalles adicionales sobre el robo de sus fichas (tokens) OAuth de integración el mes pasado y señaló que el atacante pudo acceder a los datos internos de NPM y a la información de sus clientes.

«Usando fichas de usuario de OAuth robados que se originaron en dos integradores de terceros ―Heroku y Travis CI― el atacante pudo escalar el acceso a la infraestructura de NPM», dijo Greg Ose y agregó que el atacante logró obtener una serie de archivos:

• Una copia de seguridad de la base de datos de skimdb.npmjs.com que consta de datos al 7 de abril de 2021 ―incluido un archivo de información de usuario de 2015 y todos los manifiestos― y metadatos de paquetes de NPM privados. El archivo contenía nombres de usuario, hash de contraseñas y direcciones de correo electrónico de NPM para aproximadamente 100,000 usuarios.
• Un conjunto de archivos CSV que abarca un archivo de todos los nombres y números de versión de las versiones publicadas de todos los paquetes privados de NPM a partir del 10 de abril de 2022.
• Un pequeño subconjunto de paquetes privados de dos organizaciones.

Como consecuencia, GitHub está dando el paso de restablecer las contraseñas de los usuarios afectados. También se espera que notifique directamente a los usuarios con manifiestos de paquetes privados expuestos, metadatos y nombres y versiones de paquetes privados durante los próximos días.

Fuente: The Hacker News.