Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

Github: NPM-Pakete konnten beliebig überschrieben werden

Ein Fehler in der NPM-Registry hat das Überschreiben von Paketen ermöglicht. Github weiß nicht sicher, ob dies ausgenutzt wurde.
/ Sebastian Grüner
2 Kommentare News folgen (öffnet im neuen Fenster)
Github will die Sicherheit von NPM verbessern. (Bild: Github)
Github will die Sicherheit von NPM verbessern. Bild: Github

Der Code-Hoster Github berichtet als Betreiber der NPM-Registry von einer schwerwiegenden Sicherheitslücke, die dem Unternehmen vor wenigen Wochen gemeldet worden ist. Laut Angaben des Betreibers war es darüber möglich, andere Pakete in der Registry zu überschreiben. Damit hätte Malware an Millionen Nutzer verteilt werden können. Die Lücke wurde Github zufolge inzwischen geschlossen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
IT-Abteilungsleitung (m/w/d) Max-Planck-Institut für Radioastronomie, Bonn (öffnet im neuen Fenster)
ERP-Systembetreuer (m/w/d) Alexander Binzel Schweisstechnik GmbH & Co. KG, Buseck (öffnet im neuen Fenster)
Cloud Administrator / DevOps Engineer Internet of Things (IoT) (m/w/d) Schwarz IT, Weinsberg (öffnet im neuen Fenster)
E-Commerce Manager (m/w/d) Onlinehandel für Handwerksbedarf & Bauprodukte WULFF GmbH u. Co. KG, Lotte (öffnet im neuen Fenster)
Duales Studium Informationstechnik 2026 (m/w/d) Schwarz IT, Neckarsulm (öffnet im neuen Fenster)
Anwendungsprogammierer (m/w/d) Rico GmbH & Co. KG, Kirchheim unter Teck (öffnet im neuen Fenster)
Mitarbeiter (m/w/d) Dokumenten-Management IKK Brandenburg und Berlin, Potsdam (öffnet im neuen Fenster)
UX-/ UI-Designerin/ Designer (m/w/d) Voll- oder Teilzeit Verkehrsverbund Rhein-Ruhr AöR, Gelsenkirchen (öffnet im neuen Fenster)

Wie es in dem kurzen Bericht im Github-Blog(öffnet im neuen Fenster) heißt, sei die Ursache der Lücke auf eine inkosistente Überprüfung der Autorisierung zurückzuführen sowie auch auf die Validierung dieser Daten über verschiedene Microservices in der NPM-Registry hinweg. Die Autorisierung sei demnach zwar korrekt für Pakete über URL-Pfade durchgeführt worden, die Updates eines NPM-Pakets seien jedoch nur über die Inhalte in der Paket-Datei selbst verteilt worden.

Angreifer hätten so theoretisch Updates für bestehende Pakete anderer Nutzer und darin Schadcode verteilen können. Diese Sicherheitslücke habe laut Github in der NPM-Registry über den Zeitraum hinaus bestanden, für den der Anbieter Telemetrie-Daten habe. Dies sei seit September 2020 der Fall. Ob die Lücke vorher ausgenutzt worden sei, könne Github entsprechend nicht sagen, der Anbieter schließe aber aus, dass die Sicherheitslücke seitdem ausgenutzt worden sei.

2FA für NPM

Die Übernahme von NPM-Accounts oder Paketen gehört zu den wohl schwerwiegendsten Angriffen auf das Javascript-Ökosystem, da so leicht Malware verteilt werden kann. Das ist in der Vergangenheit auch geschehen. Github will deshalb im kommenden Jahr damit beginnen, eine Zwei-Faktor-Authentisierung (2FA) für Maintainer und Admins von NPM-Paketen umzusetzen.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Begonnen werden soll damit für ein Gruppe der meistgenutzten Pakete und das Team bei Github sucht noch nach nutzerfreundlichen Wegen zur Umsetzung des Plans. Dazu könnte etwa Webauthn gehören. Die Nutzung der Technik mag dabei zwar Vorteile bringen. Im Fall der beschriebenen Sicherheitslücke in den Diensten der NPM-Registry selbst hätte wohl aber auch eine 2FA nicht geholfen.

Zur Startseite 2 Kommentare

Relevante Themen

Open SourceSoftwareProgrammiersprachenSoftwareentwicklungSecuritySicherheitslückeVerschlüsselungCybercrimeWissen2-FA