攻擊者竊取了十萬 npm 用戶賬號登陸信息

GitHub 披露黑客在 4 月中旬的攻擊中竊取了近十萬 npm 用戶賬號登陸信息，這次攻擊利用了簽發給 Heroku 和 Travis-CI 的 OAuth 應用令牌。攻擊者訪問了一個 2015 年的用戶信息存檔，其中含有近 10 萬 npm 用戶名，密碼哈希和電郵地址，雖然哈希密碼是用弱哈希算法如加鹽 SHA1 生成因此容易破解，但 GitHub 從 3 月 1 日起對所有賬號自動啟用了電郵驗證，控制賬號的嘗試會自動阻止。在分析和檢查了所有 npm 軟件包版本的哈希之后，GitHub 確信攻擊者沒有修改任何公開的軟件包或上傳現有軟件包的新版本。GitHub 重置了所有受影響用戶的密碼，并向受影響組織和用戶發送了通知。