Github: NPM-Pakete konnten beliebig überschrieben werden

Ein Fehler in der NPM-Registry hat das Überschreiben von Paketen ermöglicht. Github weiß nicht sicher, ob dies ausgenutzt wurde.

Artikel veröffentlicht am ,
Github will die Sicherheit von NPM verbessern.
Github will die Sicherheit von NPM verbessern. (Bild: Github)

Der Code-Hoster Github berichtet als Betreiber der NPM-Registry von einer schwerwiegenden Sicherheitslücke, die dem Unternehmen vor wenigen Wochen gemeldet worden ist. Laut Angaben des Betreibers war es darüber möglich, andere Pakete in der Registry zu überschreiben. Damit hätte Malware an Millionen Nutzer verteilt werden können. Die Lücke wurde Github zufolge inzwischen geschlossen.

Stellenmarkt
  1. Informatik Quereinsteiger (m/w/d) Jira und Confluence
    DG Nexolution eG, Wiesbaden
  2. Software Tester / Softwaretester (m/w/d)
    AGROLAB GMBH, Landshut
Detailsuche

Wie es in dem kurzen Bericht im Github-Blog heißt, sei die Ursache der Lücke auf eine inkosistente Überprüfung der Autorisierung zurückzuführen sowie auch auf die Validierung dieser Daten über verschiedene Microservices in der NPM-Registry hinweg. Die Autorisierung sei demnach zwar korrekt für Pakete über URL-Pfade durchgeführt worden, die Updates eines NPM-Pakets seien jedoch nur über die Inhalte in der Paket-Datei selbst verteilt worden.

Angreifer hätten so theoretisch Updates für bestehende Pakete anderer Nutzer und darin Schadcode verteilen können. Diese Sicherheitslücke habe laut Github in der NPM-Registry über den Zeitraum hinaus bestanden, für den der Anbieter Telemetrie-Daten habe. Dies sei seit September 2020 der Fall. Ob die Lücke vorher ausgenutzt worden sei, könne Github entsprechend nicht sagen, der Anbieter schließe aber aus, dass die Sicherheitslücke seitdem ausgenutzt worden sei.

2FA für NPM

Die Übernahme von NPM-Accounts oder Paketen gehört zu den wohl schwerwiegendsten Angriffen auf das Javascript-Ökosystem, da so leicht Malware verteilt werden kann. Das ist in der Vergangenheit auch geschehen. Github will deshalb im kommenden Jahr damit beginnen, eine Zwei-Faktor-Authentisierung (2FA) für Maintainer und Admins von NPM-Paketen umzusetzen.

Golem Karrierewelt
  1. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    06./07.02.2023, Virtuell
  2. Certified Network Defender (CND): virtueller Fünf-Tage-Workshop
    06.-10.02.2023, Virtuell
Weitere IT-Trainings

Begonnen werden soll damit für ein Gruppe der meistgenutzten Pakete und das Team bei Github sucht noch nach nutzerfreundlichen Wegen zur Umsetzung des Plans. Dazu könnte etwa Webauthn gehören. Die Nutzung der Technik mag dabei zwar Vorteile bringen. Im Fall der beschriebenen Sicherheitslücke in den Diensten der NPM-Registry selbst hätte wohl aber auch eine 2FA nicht geholfen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Jenzzo 17. Nov 2021

Irgendwie so, als ob ich überall im Weißen Haus rumspazieren könnte, wenn ich den...

Wuestenschiff 17. Nov 2021

Ich mein das sit ein Infrastuktur Bug keine Vuln im eigentlichen Sinn aber sowas muss...



Aktuell auf der Startseite von Golem.de
Tesla-Fabrik
In Grünheide soll "totales Chaos" herrschen

Die Tesla-Fabrik in Grünheide hinkt ihren Produktionszielen noch weit hinterher. Es gibt zu wenig Personal oder die Mitarbeiter kündigen wieder.

Tesla-Fabrik: In Grünheide soll totales Chaos herrschen
Artikel
  1. Elbit Systems Deutschland: Neue Bundeswehr-Funkgeräte lösen Retrogeräte von 1982 ab
    Elbit Systems Deutschland
    Neue Bundeswehr-Funkgeräte lösen Retrogeräte von 1982 ab

    Vor rund einem Jahr hat das Beschaffungsamt der Bundeswehr für 600 Millionen Euro Tausende Funkgeräte aus dem Jahr 1982 nachbauen lassen. Nun werden ganz neue angeschafft.

  2. Europäischer Rat: Einigung über Bargeldobergrenze von 10.000 Euro
    Europäischer Rat
    Einigung über Bargeldobergrenze von 10.000 Euro

    Der Europäische Rat hat sich auf eine Bargeldobergrenze von 10.000 Euro verständigt. Auch Kryptowährungen sollen streng reguliert werden.

  3. Angespielt: Diablo 4 wird brutal, makaber und ein bisschen eklig
    Angespielt
    Diablo 4 wird brutal, makaber und ein bisschen eklig

    Open-World-Freiheiten, dynamische Events und eine geteilte Spielwelt: Golem.de hat Diablo 4 angespielt und mit den Entwicklern gesprochen.
    Von Olaf Bleich

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bei Amazon bestellbar • Tiefstpreise: Asus RTX 4080 1.689,90€, MSI 28" 4K 579€, Roccat Kone Pro 39,99€, Asus RTX 6950 XT 939€ • Alternate: Acer Gaming-Monitor 27" 159,90€, Razer BlackWidow V2 Mini 129,90€ • 20% Extra-Rabatt bei ebay • Amazon Last Minute Angebote [Werbung]
    •  /