GitHub: Angreifer stehlen Daten von mehr als 100.000 npm-Konten
Im April haben Hacker es geschafft, zahlreiche OAuth-Token von GitHub-Nutzern und damit private Dateien vieler Organisationen zu stehlen. Nun wurde bekannt, dass im Rahmen des Angriffs auch Login-Daten von mehr als 100.000 Nutzern, die "npm" verwenden, abgegriffen wurden.
Das geht aus dem offiziellen Bericht der von GitHub durchgeführten Untersuchung (via The Register) hervor. Hier führt das Unternehmen auf, welche Daten entwendet werden konnten. Schon im letzten Monat war bekannt, dass auch "npm" auf die Drittanbieter-Services Heroku und Travis-CI, über die die Token gestohlen wurden, zurückgreift. Zu dem Zeitpunkt war allerdings noch offen, ob die Hacker auch an Nutzerdaten gelangen konnten.
Obwohl GitHub möglicherweise kompromittierte Unternehmen schon im April über die Attacke informiert hatte, betont der Konzern, direkt betroffene npm-Nutzer, deren Passwort im Klartext gespeichert war, erneut über den Vorfall zu unterrichten.
Vor gut einem Monat hat der Versionsverwaltungs-Dienst bekanntgegeben, dass Hacker zahlreiche OAuth-Token stehlen und auf privaten Quellcode zugreifen konnten. Das gibt den Angreifern die Möglichkeit, in den Programmen effizienter nach kritischen Schwachstellen zu suchen. GitHub hatte seinen Nutzern schon vor einigen Wochen empfohlen, die Audit- und Sicherheits-Logs auf verdächtige Aktivitäten zu überprüfen. Obwohl die Hacker Zugriff auf viele Repositories hatten, wurden keine Änderungen an den Paketen vorgenommen.
Download GitHub Desktop - Grafischer Client für GitHub Siehe auch:
Passwörter in Klartext-Datei gespeichert
Der Bericht bestätigt, dass die Datensätze von über 100.000 npm-Konten abgegriffen wurden. Da die Passwörter mit den unsicheren Algorithmen PBKDF2 und SHA1 gehasht wurden, ist es möglich, an die ursprünglichen Passwörter zu gelangen. Die Daten stammen allerdings aus einem Archiv, das bereits 2015 angelegt wurde. Neben den Nutzerdaten wurden alle privaten Paket-Manifest-Dateien und npm-Metadaten, die bis zum 7. April 2021 erzeugt wurden, entwendet. Darüber hinaus haben manche npm-Services Passwörter in internen Klartext-Logdateien gespeichert.Obwohl GitHub möglicherweise kompromittierte Unternehmen schon im April über die Attacke informiert hatte, betont der Konzern, direkt betroffene npm-Nutzer, deren Passwort im Klartext gespeichert war, erneut über den Vorfall zu unterrichten.
Vor gut einem Monat hat der Versionsverwaltungs-Dienst bekanntgegeben, dass Hacker zahlreiche OAuth-Token stehlen und auf privaten Quellcode zugreifen konnten. Das gibt den Angreifern die Möglichkeit, in den Programmen effizienter nach kritischen Schwachstellen zu suchen. GitHub hatte seinen Nutzern schon vor einigen Wochen empfohlen, die Audit- und Sicherheits-Logs auf verdächtige Aktivitäten zu überprüfen. Obwohl die Hacker Zugriff auf viele Repositories hatten, wurden keine Änderungen an den Paketen vorgenommen.
Download GitHub Desktop - Grafischer Client für GitHub Siehe auch:
- GitHub: Hacker stehlen OAuth-Token, greifen auf privaten Quellcode zu
- Nordkoreanische Hacker nutzen Windows Update und GitHub für Angriff
- DRM von Netflix & Co.: GitHub muss hunderte Widevine-Forks löschen
- Microsoft bringt Github nach massiven Problemen wieder online
- Github Copilot: Microsofts Programmier-KI macht gravierende Fehler
Thema:
Beliebte Open-Source-Downloads
Videos zum Thema
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- AMD trollt Apple und meint, dass das MacBook Neo beim Gaming versagt
- Doppelrumpfdesign: So soll Aerodynamik von Flugzeugen besser werden
- Erster bemannter Flugzeugflug mit Feststoffbatterien ist gelungen
- Mamma Mia! Besonderes Super Mario Bros. für Rekordsumme ersteigert
- Großer Juni-Sale: Media Markt und Saturn senken massiv die Preise
- Strenge Abgasnormen: Hardware-Update macht Dieselmotoren sauberer
- Metas neues KI-Team ist ein "seelenzerstörender Gulag", so Insider
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen