Anzeige
NPM ist anfälig für einen Wurm.
NPM ist anfälig für einen Wurm. (Bild: NPM)

Google-Entwickler: NPM-Malware könnte sich als Wurm verbreiten

NPM ist anfälig für einen Wurm.
NPM ist anfälig für einen Wurm. (Bild: NPM)

Wegen einiger Design-Prinzipien der Node-Paktverwaltung NPM könne sich ein schadhaftes Modul wie ein Wurm im gesamten System verbreiten, warnt ein Google-Entwickler. Gegen die Sicherheitslücke hilft vorerst nur Handarbeit.

Der vom Google-Entwickler Sam Saccone als "NPM Hydra Worm" beschriebene Angriff auf die Paketverwaltung für Node.js nutzt einige Schwäche im Design von NPM. Dadurch könnte sich ein schadhaftes Paket als Wurm in dem NPM-Archiv verbreiten. An wirksamen Gegenmaßnahmen arbeitet das Unternehmen NPM noch, bis diese umgesetzt sind, helfen nur Workarounds und manuelles Eingreifen.

Anzeige

Ein Wurm im Paket-Skript

Saccone kombiniert für seinen bereits Anfang Januar an NPM gemeldeten, theoretischen Angriff prinzipielle Arbeitsweisen der Paketverwaltung. So sind Pakete und ihre Abhängigkeiten nicht standardmäßig auf klar definierte Versionsnummern festgelegt, sondern akzeptieren auch größere Versionsbereiche, sofern dies nicht mit Shrinkwrap unterbunden wird.

Darüber hinaus bleiben Nutzer von NPM dauerhaft in dem Dienst angemeldet und müssen sich durch Eingabe eines Kommandos explizit abmelden. Gelingt es, ein schadhaftes Paket als Teil einer Update-Version zu verteilen, könnten sehr viele weitere Pakete dieses einspielen. Während einer Installation können die Pakete zudem eigene Skripte ausführen.

Ein solches Skript mit Schadcode könnte sich wiederum leicht weiterverteilen. Dazu reicht es aus, dass ein Paketbetreuer noch angemeldet ist und das Paket mit Schadcode als Abhängigkeit installiert. Die Malware könnte dann als Teil eines weiteren Pakets im NPM-Archiv publiziert werden, schließlich ist der Nutzer noch angemeldet. Da NPM ein zentrales Verzeichnis als Paketarchiv pflegt, ließe sich der Schadcode so sehr schnell verbreiten, vermutet Saccone.

NPM will Angriffsvektor schwächen

Als Gegenmaßnahme empfiehlt NPM hauptsächlich das Ausführen der Skripte entweder global oder auch nur zum Installationszeitpunkt abzuschalten. Außerdem erklärt NPM, dass es einen derartigen Wurm vermutlich durch eine wesentlich erhöhte Publikationshäufigkeit von Paketen entdecken könnte und dann eine weitere Verbreitung verhindern würde.

Das Unternehmen arbeite zurzeit daran, eine Zwei-Faktor-Authentifizierung für die Veröffentlichung von Paketen einzuführen. Die Schadsoftware könnte sich dann nicht mehr einfach selbst weiterverteilen. Letztlich könne NPM aber nicht sämtlichen Code scannen und hält es daher für möglich, dass in einer großangelegten Aktion Schadcode als Paket verteilt werden könnte. Der Dienst sei damit abhängig davon, dass die Community für sichere Pakete sorge.


eye home zur Startseite
teleborian 31. Mär 2016

Lässt sich das auf Distributionen und Ihre Paketdienste wie apt übertragen? oder was ist...

teleborian 31. Mär 2016

Wenn die so reden klingt das nach einem nicht behebbaren Designproblem. NPM müsste...

videospieler 30. Mär 2016

Ah, ok. Danke :)

Kommentieren



Anzeige

  1. Software Engineer Java (m/w)
    Daimler AG, Ulm
  2. Client Services Software Support (m/w)
    State Street Bank International GmbH, Frankfurt
  3. Java-Entwickler (m/w)
    Jetter AG, Ludwigsburg
  4. Software Engineer Mobile Apps (m/w)
    Daimler AG, Berlin

Detailsuche



Anzeige
Top-Angebote
  1. NEU: 4 Blu-rays für 30 EUR
    (u. a. Der große Gatsby, Mad Max, Black Mass, San Andreas)
  2. NUR FÜR KURZE ZEIT: Adobe Photoshop Elements & Premiere Elements 14 (PC/Mac)
    69,90€ inkl. Versand
  3. NEU: Blu-rays zum Sonderpreis

Weitere Angebote


Folgen Sie uns
       


  1. Patentverletzungen

    Qualcomm verklagt Meizu

  2. Deep Learning

    Algorithmus sagt menschliche Verhaltensweisen voraus

  3. Bungie

    Destiny-Karriere auf PS3 und Xbox 360 endet im August 2016

  4. Vive-Headset

    HTC muss sich auf Virtual Reality verlassen

  5. Mobilfunk

    Datenvolumen steigt während EM-Spiel um 25 Prozent

  6. Software Guard Extentions

    Linux-Code kann auf Intel-CPUs besser geschützt werden

  7. Darknet-Handel

    Nutzerdaten von Telekom-Kunden werden verkauft

  8. HTML5 Video

    Chrome-Bug hebelt Web-DRM aus

  9. Langer Marsch

    Chinas neue Raumfahrt

  10. Sicherheitslücke

    Lenovo warnt schon wieder vor vorinstallierter Software



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Autotracker Tanktaler: Wen juckt der Datenschutz, wenn's Geld gibt?
Autotracker Tanktaler
Wen juckt der Datenschutz, wenn's Geld gibt?
  1. Ubeeqo Europcar-App vereint Mietwagen, Carsharing und Taxis
  2. Rearvision Ex-Apple-Ingenieure entwickeln Dualautokamera
  3. Tod von Anton Yelchin Verwirrender Automatikhebel führte bereits zu 41 Unfällen

Mighty No. 9 im Test: Mittelmaß für 4 Millionen US-Dollar
Mighty No. 9 im Test
Mittelmaß für 4 Millionen US-Dollar
  1. Moto GP 2016 im Test Motorradrennen mit Valentino Rossi
  2. Warp Shift im Test Zauberhaftes Kistenschieben
  3. Alienation im Test Mit zwei Analogsticks gegen viele Außerirdische

Wireless-HDMI im Test: Achtung Signalstörung!
Wireless-HDMI im Test
Achtung Signalstörung!
  1. Die Woche im Video E3, Oneplus Three und Apple ohne X

  1. Re: Suche nach "schändlichen Aktivitäten"

    Mingfu | 16:46

  2. Re: Guckt der auch Pornos?

    TC | 16:45

  3. Re: Hmmm... muss ich auch mal probieren

    Bankai | 16:45

  4. Es fehlt an Inhalten

    Cerdo | 16:45

  5. Re: Warum ein weißes Mainboard?

    TC | 16:43


  1. 16:40

  2. 16:18

  3. 16:00

  4. 15:47

  5. 15:41

  6. 15:14

  7. 14:47

  8. 14:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel