Cerca de 100 mil credenciales de usuarios de NPM robadas en GitHub.

GitHub compartió ayer viernes detalles adicionales sobre el robo de sus fichas (tokens) OAuth de integración el mes pasado y señaló que el atacante pudo acceder a los datos internos de NPM y a la información de sus clientes.

«Usando fichas de usuario de OAuth robados que se originaron en dos integradores de terceros ―Heroku y Travis CI― el atacante pudo escalar el acceso a la infraestructura de NPM», dijo Greg Ose y agregó que el atacante logró obtener una serie de archivos:

Una copia de seguridad de la base de datos de skimdb.npmjs.com que consta de datos al 7 de abril de 2021 ―incluido un archivo de información de usuario de 2015 y todos los manifiestos― y metadatos de paquetes de NPM privados. El archivo contenía nombres de usuario, hash de contraseñas y direcciones de correo electrónico de NPM para aproximadamente 100,000 usuarios.
Un conjunto de archivos CSV que abarca un archivo de todos los nombres y números de versión de las versiones publicadas de todos los paquetes privados de NPM a partir del 10 de abril de 2022.
Un pequeño subconjunto de paquetes privados de dos organizaciones.

Como consecuencia, GitHub está dando el paso de restablecer las contraseñas de los usuarios afectados. También se espera que notifique directamente a los usuarios con manifiestos de paquetes privados expuestos, metadatos y nombres y versiones de paquetes privados durante los próximos días.

Fuente: The Hacker News.