Abo
  • Services:
Anzeige
NPM ist anfälig für einen Wurm.
NPM ist anfälig für einen Wurm. (Bild: NPM)

Google-Entwickler: NPM-Malware könnte sich als Wurm verbreiten

NPM ist anfälig für einen Wurm.
NPM ist anfälig für einen Wurm. (Bild: NPM)

Wegen einiger Design-Prinzipien der Node-Paktverwaltung NPM könne sich ein schadhaftes Modul wie ein Wurm im gesamten System verbreiten, warnt ein Google-Entwickler. Gegen die Sicherheitslücke hilft vorerst nur Handarbeit.

Der vom Google-Entwickler Sam Saccone als "NPM Hydra Worm" beschriebene Angriff auf die Paketverwaltung für Node.js nutzt einige Schwäche im Design von NPM. Dadurch könnte sich ein schadhaftes Paket als Wurm in dem NPM-Archiv verbreiten. An wirksamen Gegenmaßnahmen arbeitet das Unternehmen NPM noch, bis diese umgesetzt sind, helfen nur Workarounds und manuelles Eingreifen.

Anzeige

Ein Wurm im Paket-Skript

Saccone kombiniert für seinen bereits Anfang Januar an NPM gemeldeten, theoretischen Angriff prinzipielle Arbeitsweisen der Paketverwaltung. So sind Pakete und ihre Abhängigkeiten nicht standardmäßig auf klar definierte Versionsnummern festgelegt, sondern akzeptieren auch größere Versionsbereiche, sofern dies nicht mit Shrinkwrap unterbunden wird.

Darüber hinaus bleiben Nutzer von NPM dauerhaft in dem Dienst angemeldet und müssen sich durch Eingabe eines Kommandos explizit abmelden. Gelingt es, ein schadhaftes Paket als Teil einer Update-Version zu verteilen, könnten sehr viele weitere Pakete dieses einspielen. Während einer Installation können die Pakete zudem eigene Skripte ausführen.

Ein solches Skript mit Schadcode könnte sich wiederum leicht weiterverteilen. Dazu reicht es aus, dass ein Paketbetreuer noch angemeldet ist und das Paket mit Schadcode als Abhängigkeit installiert. Die Malware könnte dann als Teil eines weiteren Pakets im NPM-Archiv publiziert werden, schließlich ist der Nutzer noch angemeldet. Da NPM ein zentrales Verzeichnis als Paketarchiv pflegt, ließe sich der Schadcode so sehr schnell verbreiten, vermutet Saccone.

NPM will Angriffsvektor schwächen

Als Gegenmaßnahme empfiehlt NPM hauptsächlich das Ausführen der Skripte entweder global oder auch nur zum Installationszeitpunkt abzuschalten. Außerdem erklärt NPM, dass es einen derartigen Wurm vermutlich durch eine wesentlich erhöhte Publikationshäufigkeit von Paketen entdecken könnte und dann eine weitere Verbreitung verhindern würde.

Das Unternehmen arbeite zurzeit daran, eine Zwei-Faktor-Authentifizierung für die Veröffentlichung von Paketen einzuführen. Die Schadsoftware könnte sich dann nicht mehr einfach selbst weiterverteilen. Letztlich könne NPM aber nicht sämtlichen Code scannen und hält es daher für möglich, dass in einer großangelegten Aktion Schadcode als Paket verteilt werden könnte. Der Dienst sei damit abhängig davon, dass die Community für sichere Pakete sorge.


eye home zur Startseite
teleborian 31. Mär 2016

Lässt sich das auf Distributionen und Ihre Paketdienste wie apt übertragen? oder was ist...

teleborian 31. Mär 2016

Wenn die so reden klingt das nach einem nicht behebbaren Designproblem. NPM müsste...

videospieler 30. Mär 2016

Ah, ok. Danke :)



Anzeige

Stellenmarkt
  1. Bosch Software Innovations GmbH, Waiblingen
  2. über HRM CONSULTING GmbH, Köln
  3. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Darmstadt
  4. Robert Bosch GmbH, Stuttgart


Anzeige
Hardware-Angebote
  1. und Civilization VI gratis erhalten
  2. und 19 % Cashback bekommen

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Wichtige Anwendungen von automatisierter Inventarisierung
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. BMW Connected Drive

    Dieb wird mit vernetztem Auto gefangen

  2. Helio X23 und Helio X27

    Mediatek taktet seine 10-Kern-SoCs für Smartphones höher

  3. Betrug

    Dating-Plattformen sollen eigene Fake-Profile anlegen

  4. Onlineshopping

    Amazon startet Zwei-Faktor-Authentifizierung in Deutschland

  5. Moto Z

    Lenovo plant mindestens zwölf neue Module pro Jahr

  6. Travelers Box

    Münzgeld am Flughafen tauschen

  7. Apple

    Produktionsfehler macht Akkutausch im iPhone 6S notwendig

  8. Apple

    Aktivierungssperre des iPads lässt sich umgehen

  9. Amazon

    Downloader-App aus dem Fire-TV-Store entfernt

  10. Autonomes Fahren

    Apple zeigt Interesse an selbstfahrenden Autos



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nach Angriff auf Telekom: Mit dem Strafrecht Router ins Terrorcamp schicken oder so
Nach Angriff auf Telekom
Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  1. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit
  2. Pornoseite Xhamster spricht von Fake-Leak
  3. Mitfahrgelegenheit.de 640.000 Ibans von Mitfahrzentrale-Nutzern kopiert

Digitalcharta: Operation am offenen Herzen der europäischen Demokratie
Digitalcharta
Operation am offenen Herzen der europäischen Demokratie
  1. EU-Kommission Mehrwertsteuer für digitale Medien soll sinken
  2. Vernetzte Geräte Verbraucherminister fordern Datenschutz im Haushalt
  3. Neue Richtlinie EU plant Netzsperren und Staatstrojaner

Garamantis: Vorsicht Vitrine, anfassen erwünscht!
Garamantis
Vorsicht Vitrine, anfassen erwünscht!
  1. Gentechnik Mediziner setzen einem Menschen Crispr-veränderte Zellen ein
  2. Zarm Zehn Sekunden schwerelos
  3. Mikroelektronik Wie eine Vakuumröhre - nur klein, stromsparend und schnell

  1. Re: Toll...

    Dieselmeister | 11:17

  2. 7 % Gebühr bei den Münzen ist doch richtig nett

    oderundblau22 | 11:17

  3. Re: Antenne abklemmen

    ChristianKG | 11:17

  4. Re: Port umlenken

    nille02 | 11:16

  5. Re: Warum gehen alle davon aus dass eine...

    Sphinx2k | 11:16


  1. 10:49

  2. 10:33

  3. 10:28

  4. 10:20

  5. 10:05

  6. 09:26

  7. 08:41

  8. 12:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel