Domain-Hijacking: Tausende NPM-Accounts könnten sich übernehmen lassen

Laut einer Untersuchung lassen sich verwaiste NPM-Pakete leicht übernehmen. Außerdem könnten einige Maintainer überarbeitet sein.

Artikel veröffentlicht am ,
Viele NPM-Pakete sind verwaist, einige könnten sich übernehmen lassen.
Viele NPM-Pakete sind verwaist, einige könnten sich übernehmen lassen. (Bild: Spencer Platt/Getty Images)

Erst Anfang dieses Jahres zeigte sich, dass die Entscheidung eines einzelnen Maintainers im NPM-Ökosystem extrem große Auswirkungen haben könnte. Eine Forschungsgruppe der North Carolina State University, Raleigh, hat nun zusammen mit Microsoft Research die Metadaten der mehr als 1,5 Millionen NPM-Pakete auf mögliche Schwachstellen überprüft und etwa die Möglichkeit von leichten Account-Hijacks festgestellt.

Konkret handelt es sich dabei um die E-Mail-Adressen von 2.818 Maintainern, die zusammen fast 8.500 Pakete betreuen, welche bereits abgelaufene Domains benutzen. Da die Domains derzeit nicht mehr vergeben sind, könnten Angreifer diese schlicht auf sich selbst registrieren und so vergleichsweise einfach die hinterlegten E-Mail-Adressen übernehmen. Dazu muss nur ein DNS-Eintrag geändert werden.

So könnte der ursprüngliche Account auch zurückgesetzt werden und die eigentlichen Pakete der Maintainer manipuliert werden. Das Problem ist in dem konkreten Fall zwar noch klein. Laut der Untersuchung werden aber fast 80.000 einzigartige Domains von NPM-Betreuern genutzt. Die Möglichkeit der Account-Hijacks könnte langfristig also weiter bestehen, falls eine dieser Domains nicht mehr auf den jeweiligen Maintainer registriert ist.

Viele weitere Risiken

In der Untersuchung verweist das Team außerdem darauf, dass etwa 59 Prozent der NPM-Pakete verwaist sowie 44 Prozent der Maintainer inaktiv seien. Hierfür wird ein Zeitraum von mindestens zwei Jahren ohne Änderungen oder Neuerungen betrachtet. Darüber hinaus verwaltet das wichtigste 1 Prozent der NPM-Maintainer im Schnitt 180 Pakete, wovon wiederum 4.000 weitere abhängen.

Wie nicht anders zu erwarten, sind also vor allem alte und verwaiste Pakete wegen ihrer eventuell leichten Übernahmemöglichkeit sowie bestimmte Maintainer wegen deren großer Reichweite in dem Ökosystem ein lohnenswertes Ziel für Angriffe. Das hat auch NPM-Besitzer Github erkannt und führt deshalb langsam die zwingende Nutzung einer Zweifaktorauthentifizierung ein. Das soll das Potenzial von Account-Übernahmen verringern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Update für Google Maps
Google Street View kehrt nach Deutschland zurück

Nach 13 Jahren aktualisiert Google die Straßenfotos für Street View. Dafür verschwindet zuerst das gesamte alte Bildmaterial.

Update für Google Maps: Google Street View kehrt nach Deutschland zurück
Artikel
  1. Cablelabs: Docsis-4.0-Modems können zertifiziert werden
    Cablelabs
    Docsis-4.0-Modems können zertifiziert werden

    Die Branchenorganisation Cablelabs hat auf den Ausbau von Docsis 4.0 in den USA und Kanada reagiert.

  2. Polaris: Bundeswehr will neues Aerospike-Raketentriebwerk
    Polaris
    Bundeswehr will neues Aerospike-Raketentriebwerk

    Den Auftrag für das neue Triebwerk hat die Bundeswehr an das deutsche Start-up Polaris gegeben, das damit in die Luftfahrtgeschichte eingehen kann.

  3. Pharo: Guter Einstieg in die objektorientierte Programmierung
    Pharo
    Guter Einstieg in die objektorientierte Programmierung

    Pharo ist eine von Smalltalk abgeleitete Programmiersprache und gut für alle, die sich mit objektorientierter Programmierung vertraut machen wollen. Eine Einführung.
    Eine Anleitung von Christophe Leske

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • MindStar: Corsair Crystal 570X RGB Mirror 99€, be quiet! Pure Base 500 59€, Patriot Viper VENOM RGB DDR5-6200 32 GB 109€ • Acer XZ322QUS 259€ • Corsair RM750x 108€ • Corsair K70 RGB PRO 135€ • PS5-Spiele & Zubehör bis -75% • Chromebooks bis -32% • NBB: Gaming-Produkte bis -50% [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /