GitHubのセキュリティチームは4月15日(米国時間)、HerokuおよびTravis CIから窃取されたOAuthユーザトークンを悪用してGitHubのプライベートリポジトリにアクセスしデータ窃取を行うというセキュリティインシデントが発生したと伝えた(参考「盗まれたOAuthユーザートークンでGitHubリポジトリからデータ奪う攻撃発生 | TECH+」)。

このサイバー攻撃に関しては調査が継続しており、分析が進展するごとに随時情報が公開されてきたほか、ユーザーへの通知とパスワードリセットといった作業が取り組まれてきた。GitHubはこのセキュリティインシデントを「高度な標的型攻撃」だったと評価している(参考「盗まれたOAuth悪用したGitHubの情報漏洩、高度な「標的型攻撃」と判明 | TECH+」)。

GitHubは5月26日(米国時間)、「npm security update: Attack campaign using stolen OAuth tokens|The GitHub Blog」において、このセキュリティインシデントに関する新しい情報を伝えた。具体的にどのようなデータが流出したかが報告されている。

  • npm security update: Attack campaign using stolen OAuth tokens|The GitHub Blog

    npm security update: Attack campaign using stolen OAuth tokens|The GitHub Blog

報告された主な新しい情報は次のとおり。

  • サイバー犯罪者は窃取したOAuthユーザトークンを悪用して最終的にnpmクラウドストレージからデータ窃取を実施した
  • 窃取されたデータには2021年4月7日からのskimdb.npmjs.comのバックアップデータが含まれていた
  • 窃取されたバックアップデータには2015年からのユーザ情報が含まれており、npmユーザ約10万人分のユーザー名、パスワードハッシュ、電子メールアドレスが含まれていた
  • 窃取されたバックアップデータには2021年4月17日時点でのすべてのプライベートなnpmパッケージマニフェストとパッケージメタデータが含まれていた
  • 2022年4月10日時点のすべてのnpmプライベートパッケージの名前と公開バージョンのバージョン番号とアーカイブを含む一連のCSVデータも窃取されていた。
  • 2つの組織からのプライベートパッケージも窃取されていた

またGitHubは、今回のセキュリティインシデントとは無関係なことだが、今回の調査を進めている段階で、npmレジストリの平文でのユーザーアカウントデータが内部ログに記録されてしまっていることを発見したことを明らかにした。GitHubはすでにこの問題を修正したと説明している。