Abo
  • Services:
Anzeige
NPM ist anfälig für einen Wurm.
NPM ist anfälig für einen Wurm. (Bild: NPM)

Google-Entwickler: NPM-Malware könnte sich als Wurm verbreiten

NPM ist anfälig für einen Wurm.
NPM ist anfälig für einen Wurm. (Bild: NPM)

Wegen einiger Design-Prinzipien der Node-Paktverwaltung NPM könne sich ein schadhaftes Modul wie ein Wurm im gesamten System verbreiten, warnt ein Google-Entwickler. Gegen die Sicherheitslücke hilft vorerst nur Handarbeit.

Der vom Google-Entwickler Sam Saccone als "NPM Hydra Worm" beschriebene Angriff auf die Paketverwaltung für Node.js nutzt einige Schwäche im Design von NPM. Dadurch könnte sich ein schadhaftes Paket als Wurm in dem NPM-Archiv verbreiten. An wirksamen Gegenmaßnahmen arbeitet das Unternehmen NPM noch, bis diese umgesetzt sind, helfen nur Workarounds und manuelles Eingreifen.

Anzeige

Ein Wurm im Paket-Skript

Saccone kombiniert für seinen bereits Anfang Januar an NPM gemeldeten, theoretischen Angriff prinzipielle Arbeitsweisen der Paketverwaltung. So sind Pakete und ihre Abhängigkeiten nicht standardmäßig auf klar definierte Versionsnummern festgelegt, sondern akzeptieren auch größere Versionsbereiche, sofern dies nicht mit Shrinkwrap unterbunden wird.

Darüber hinaus bleiben Nutzer von NPM dauerhaft in dem Dienst angemeldet und müssen sich durch Eingabe eines Kommandos explizit abmelden. Gelingt es, ein schadhaftes Paket als Teil einer Update-Version zu verteilen, könnten sehr viele weitere Pakete dieses einspielen. Während einer Installation können die Pakete zudem eigene Skripte ausführen.

Ein solches Skript mit Schadcode könnte sich wiederum leicht weiterverteilen. Dazu reicht es aus, dass ein Paketbetreuer noch angemeldet ist und das Paket mit Schadcode als Abhängigkeit installiert. Die Malware könnte dann als Teil eines weiteren Pakets im NPM-Archiv publiziert werden, schließlich ist der Nutzer noch angemeldet. Da NPM ein zentrales Verzeichnis als Paketarchiv pflegt, ließe sich der Schadcode so sehr schnell verbreiten, vermutet Saccone.

NPM will Angriffsvektor schwächen

Als Gegenmaßnahme empfiehlt NPM hauptsächlich das Ausführen der Skripte entweder global oder auch nur zum Installationszeitpunkt abzuschalten. Außerdem erklärt NPM, dass es einen derartigen Wurm vermutlich durch eine wesentlich erhöhte Publikationshäufigkeit von Paketen entdecken könnte und dann eine weitere Verbreitung verhindern würde.

Das Unternehmen arbeite zurzeit daran, eine Zwei-Faktor-Authentifizierung für die Veröffentlichung von Paketen einzuführen. Die Schadsoftware könnte sich dann nicht mehr einfach selbst weiterverteilen. Letztlich könne NPM aber nicht sämtlichen Code scannen und hält es daher für möglich, dass in einer großangelegten Aktion Schadcode als Paket verteilt werden könnte. Der Dienst sei damit abhängig davon, dass die Community für sichere Pakete sorge.


eye home zur Startseite
teleborian 31. Mär 2016

Lässt sich das auf Distributionen und Ihre Paketdienste wie apt übertragen? oder was ist...

teleborian 31. Mär 2016

Wenn die so reden klingt das nach einem nicht behebbaren Designproblem. NPM müsste...

videospieler 30. Mär 2016

Ah, ok. Danke :)



Anzeige

Stellenmarkt
  1. JOSEPH VÖGELE AG, Ludwigshafen
  2. DR. KADE Pharmazeutische Fabrik GmbH, Berlin
  3. dSPACE GmbH, Paderborn
  4. Robert Bosch GmbH, Leonberg


Anzeige
Blu-ray-Angebote
  1. 21,99€ (Vorbesteller-Preisgarantie)
  2. 24,99€ (Vorbesteller-Preisgarantie)
  3. 5,49€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Mehr dazu im aktuellen Whitepaper von Bitdefender
  3. Mehr dazu im aktuellen Whitepaper von IBM


  1. Containerverwaltung

    Docker für Mac und Windows ist einsatzbereit

  2. Drosselung

    Telekom schafft wegen intensiver Nutzung Spotify-Option ab

  3. Quantenkrytographie

    Chinas erster Schritt zur Quantenkommunikation per Satellit

  4. Sony

    Absatz der Playstation 4 weiter stark

  5. Gigafactory

    Teslas Gigantomanie in Weiß und Rot

  6. Cloud-Speicher

    Amazon bietet unbegrenzten Speicherplatz für 70 Euro im Jahr

  7. Rechtsstreit

    Nvidia zahlt 30 US-Dollar für 512 MByte

  8. Formel E

    Die Elektrorenner bekommen einen futuristischen Frontflügel

  9. Familienmediathek

    Google lässt gekaufte Play-Store-Inhalte teilen

  10. Nokia

    Microsoft weitet Massenentlassungen in Smartphone-Sparte aus



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Festplatten mit Flash-Cache: Das Konzept der SSHD ist gescheitert
Festplatten mit Flash-Cache
Das Konzept der SSHD ist gescheitert
  1. Ironwolf, Skyhawk und Barracuda Drei neue 10-TByte-Modelle von Seagate
  2. 3PAR-Systeme HPE kündigt 7,68- und 15,36-TByte-SSDs an
  3. NVM Express und U.2 Supermicro gibt SATA- und SAS-SSDs bald auf

Huawei Matebook im Test: Guter Laptop-Ersatz mit zu starker Konkurrenz
Huawei Matebook im Test
Guter Laptop-Ersatz mit zu starker Konkurrenz
  1. Netze Huawei steigert Umsatz stark
  2. Huawei Österreich führt Hybridtechnik ein
  3. Huawei Deutsche Telekom testet LTE-V auf der A9

Xiaomi Mi Band 2 im Hands on: Fitness-Preisbrecher mit Hack-App
Xiaomi Mi Band 2 im Hands on
Fitness-Preisbrecher mit Hack-App
  1. Mi Notebook Air Xiaomi steigt mit Kampfpreisen ins Notebook-Geschäft ein
  2. Xiaomi Hugo Barra verkündet Premium-Smartphone
  3. Redmi 3S Xiaomis neues Smartphone kostet umgerechnet 95 Euro

  1. Re: Verstehe nur Bahnhof

    teenriot* | 14:14

  2. Re: Frage: Upgrade Problem (OT)

    frostbitten king | 14:13

  3. Re: Es geht doch! B14393.5

    A. T. R. | 14:13

  4. Infos zu den möglichen Schnittstellen bzw...

    stoney0815 | 14:12

  5. Re: Achtung! Kunde droht mit Auftrag

    Roflb3rg3r | 14:11


  1. 13:00

  2. 12:28

  3. 12:19

  4. 12:16

  5. 12:01

  6. 11:39

  7. 11:23

  8. 11:18


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel