Github: NPM-Pakete konnten beliebig überschrieben werden

Ein Fehler in der NPM-Registry hat das Überschreiben von Paketen ermöglicht. Github weiß nicht sicher, ob dies ausgenutzt wurde.

Artikel veröffentlicht am ,
Github will die Sicherheit von NPM verbessern.
Github will die Sicherheit von NPM verbessern. (Bild: Github)

Der Code-Hoster Github berichtet als Betreiber der NPM-Registry von einer schwerwiegenden Sicherheitslücke, die dem Unternehmen vor wenigen Wochen gemeldet worden ist. Laut Angaben des Betreibers war es darüber möglich, andere Pakete in der Registry zu überschreiben. Damit hätte Malware an Millionen Nutzer verteilt werden können. Die Lücke wurde Github zufolge inzwischen geschlossen.

Stellenmarkt
  1. Test-Engineer (m/w/d) in der Medizintechnik
    Medtron AG, Saarbrücken
  2. ERP-Administrator (m/w/d)
    C.Ed. Schulte GmbH Zylinderschlossfabrik, Velbert
Detailsuche

Wie es in dem kurzen Bericht im Github-Blog heißt, sei die Ursache der Lücke auf eine inkosistente Überprüfung der Autorisierung zurückzuführen sowie auch auf die Validierung dieser Daten über verschiedene Microservices in der NPM-Registry hinweg. Die Autorisierung sei demnach zwar korrekt für Pakete über URL-Pfade durchgeführt worden, die Updates eines NPM-Pakets seien jedoch nur über die Inhalte in der Paket-Datei selbst verteilt worden.

Angreifer hätten so theoretisch Updates für bestehende Pakete anderer Nutzer und darin Schadcode verteilen können. Diese Sicherheitslücke habe laut Github in der NPM-Registry über den Zeitraum hinaus bestanden, für den der Anbieter Telemetrie-Daten habe. Dies sei seit September 2020 der Fall. Ob die Lücke vorher ausgenutzt worden sei, könne Github entsprechend nicht sagen, der Anbieter schließe aber aus, dass die Sicherheitslücke seitdem ausgenutzt worden sei.

2FA für NPM

Die Übernahme von NPM-Accounts oder Paketen gehört zu den wohl schwerwiegendsten Angriffen auf das Javascript-Ökosystem, da so leicht Malware verteilt werden kann. Das ist in der Vergangenheit auch geschehen. Github will deshalb im kommenden Jahr damit beginnen, eine Zwei-Faktor-Authentisierung (2FA) für Maintainer und Admins von NPM-Paketen umzusetzen.

Golem Akademie
  1. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    13.–17. Dezember 2021, virtuell
  2. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    10.–14. Januar 2022, Virtuell
Weitere IT-Trainings

Begonnen werden soll damit für ein Gruppe der meistgenutzten Pakete und das Team bei Github sucht noch nach nutzerfreundlichen Wegen zur Umsetzung des Plans. Dazu könnte etwa Webauthn gehören. Die Nutzung der Technik mag dabei zwar Vorteile bringen. Im Fall der beschriebenen Sicherheitslücke in den Diensten der NPM-Registry selbst hätte wohl aber auch eine 2FA nicht geholfen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Geforce Now (RTX 3080) im Test
1440p120 mit Raytracing aus der Cloud

Höhere Auflösung, mehr Bilder pro Sekunde, kürzere Latenzen: Geforce Now mit virtueller Geforce RTX 3080 ist Cloud-Gaming par excellence.
Ein Test von Marc Sauter

Geforce Now (RTX 3080) im Test: 1440p120 mit Raytracing aus der Cloud
Artikel
  1. Encrochat-Hack: Damit würde man keinen Geschwindigkeitsverstoß verurteilen
    Encrochat-Hack
    "Damit würde man keinen Geschwindigkeitsverstoß verurteilen"

    Der Anwalt Johannes Eisenberg hat sich die Daten aus dem Encrochat-Hack genauer angesehen und viel Merkwürdiges entdeckt.
    Ein Interview von Moritz Tremmel

  2. Feldversuch E-Mobility-Chaussee: So schnell bringen E-Autos das Stromnetz ans Limit
    Feldversuch E-Mobility-Chaussee
    So schnell bringen E-Autos das Stromnetz ans Limit

    Das Laden von Elektroautos stellt Netzbetreiber auf dem Land vor besondere Herausforderungen. Ein Pilotprojekt hat verschiedene Lösungen getestet.
    Ein Bericht von Friedhelm Greis

  3. Gigafactory Grünheide: Tesla rekrutiert hauptsächlich regionale Arbeitskräfte
    Gigafactory Grünheide
    Tesla rekrutiert hauptsächlich regionale Arbeitskräfte

    Entgegen den Befürchtungen der Gegner profitieren vor allem Berlin und Brandenburg von Teslas neuer Fabrik in Brandenburg.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Gaming-Monitore zu Bestpreisen (u. a. Samsung G9 49" 32:9 Curved QLED 240Hz 1.149€) • Spiele günstiger: PC, PS5, Xbox, Switch • Zurück in die Zukunft Trilogie 4K 31,97€ • be quiet 750W-PC-Netzteil 87,90€ • Cambridge Audio Melomonia Touch 89,95€ • Gaming-Stühle zu Bestpreisen [Werbung]
    •  /