Domain-Hijacking: Tausende NPM-Accounts könnten sich übernehmen lassen

Laut einer Untersuchung lassen sich verwaiste NPM-Pakete leicht übernehmen. Außerdem könnten einige Maintainer überarbeitet sein.

Artikel veröffentlicht am ,
Viele NPM-Pakete sind verwaist, einige könnten sich übernehmen lassen.
Viele NPM-Pakete sind verwaist, einige könnten sich übernehmen lassen. (Bild: Spencer Platt/Getty Images)

Erst Anfang dieses Jahres zeigte sich, dass die Entscheidung eines einzelnen Maintainers im NPM-Ökosystem extrem große Auswirkungen haben könnte. Eine Forschungsgruppe der North Carolina State University, Raleigh, hat nun zusammen mit Microsoft Research die Metadaten der mehr als 1,5 Millionen NPM-Pakete auf mögliche Schwachstellen überprüft und etwa die Möglichkeit von leichten Account-Hijacks festgestellt.

Stellenmarkt
  1. Product Owner Produktionssteuerung (Biotech, SCRUM) (m/w/d)
    Thermo Fisher Scientific GENEART GmbH, Regensburg
  2. Java Software Developer (w/m/d) Customer Service
    SSI SCHÄFER Automation GmbH, Giebelstadt, Dortmund, Münster, Oberviechtach
Detailsuche

Konkret handelt es sich dabei um die E-Mail-Adressen von 2.818 Maintainern, die zusammen fast 8.500 Pakete betreuen, welche bereits abgelaufene Domains benutzen. Da die Domains derzeit nicht mehr vergeben sind, könnten Angreifer diese schlicht auf sich selbst registrieren und so vergleichsweise einfach die hinterlegten E-Mail-Adressen übernehmen. Dazu muss nur ein DNS-Eintrag geändert werden.

So könnte der ursprüngliche Account auch zurückgesetzt werden und die eigentlichen Pakete der Maintainer manipuliert werden. Das Problem ist in dem konkreten Fall zwar noch klein. Laut der Untersuchung werden aber fast 80.000 einzigartige Domains von NPM-Betreuern genutzt. Die Möglichkeit der Account-Hijacks könnte langfristig also weiter bestehen, falls eine dieser Domains nicht mehr auf den jeweiligen Maintainer registriert ist.

Viele weitere Risiken

In der Untersuchung verweist das Team außerdem darauf, dass etwa 59 Prozent der NPM-Pakete verwaist sowie 44 Prozent der Maintainer inaktiv seien. Hierfür wird ein Zeitraum von mindestens zwei Jahren ohne Änderungen oder Neuerungen betrachtet. Darüber hinaus verwaltet das wichtigste 1 Prozent der NPM-Maintainer im Schnitt 180 Pakete, wovon wiederum 4.000 weitere abhängen.

Golem Akademie
  1. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    04.-06.07.2022, Virtuell
  2. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    30.05.-03.06.2022, Virtuell
Weitere IT-Trainings

Wie nicht anders zu erwarten, sind also vor allem alte und verwaiste Pakete wegen ihrer eventuell leichten Übernahmemöglichkeit sowie bestimmte Maintainer wegen deren großer Reichweite in dem Ökosystem ein lohnenswertes Ziel für Angriffe. Das hat auch NPM-Besitzer Github erkannt und führt deshalb langsam die zwingende Nutzung einer Zweifaktorauthentifizierung ein. Das soll das Potenzial von Account-Übernahmen verringern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Cariad
Aufsichtsrat greift bei VWs Softwareentwicklung durch

Die Sorge um die Volkswagen-Softwarefirma Cariad hat den Aufsichtsrat veranlasst, ein überarbeitetes Konzept für die ehrgeizigen Pläne vorzulegen.

Cariad: Aufsichtsrat greift bei VWs Softwareentwicklung durch
Artikel
  1. Delfast Top 3.0: Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein
    Delfast Top 3.0
    Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein

    Ukrainische Infanteristen nutzen E-Motorräder, um leise und schnell zum Einsatz zu gelangen und die Panzerabwehrlenkwaffe NLAW zu transportieren.

  2. Überwachung: Polizei setzt Handy-Erkennungskamera gegen Autofahrer ein
    Überwachung
    Polizei setzt Handy-Erkennungskamera gegen Autofahrer ein

    In Rheinland-Pfalz werden Handynutzer am Steuer eines Autos automatisch erkannt. Dazu wird das System Monocam aus den Niederlanden genutzt.

  3. Love, Death + Robots 3: Mal spannend, mal tragisch, mal gelungen, mal nicht so
    Love, Death + Robots 3
    Mal spannend, mal tragisch, mal gelungen, mal nicht so

    Die abwechslungsreichste Science-Fiction-Serie unserer Zeit ist wieder da - mit acht neuen Folgen der von David Fincher produzierten Anthologie-Reihe.
    Von Peter Osteried

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • CW: Top-Rabatte auf PC-Komponenten • Inno3D RTX 3070 günstig wie nie: 614€ • Ryzen 9 5900X 398€ • Top-Laptops zu Tiefpreisen • Edifier Lautsprecher 129€ • Kingston SSD 2TB günstig wie nie: 129,90€ • Samsung Soundbar + Subwoofer günstig wie nie: 228,52€ [Werbung]
    •  /