Abo
  • Services:
Anzeige
Auch prominente NPM-Entwickler nutzen schwache Passwörter.
Auch prominente NPM-Entwickler nutzen schwache Passwörter. (Bild: NPM)

Node.js: Hälfte der NPM-Pakete durch schwache Passwörter verwundbar

Auch prominente NPM-Entwickler nutzen schwache Passwörter.
Auch prominente NPM-Entwickler nutzen schwache Passwörter. (Bild: NPM)

Der NPM-Dienst hat vor zwei Wochen Passwörter von Entwicklern zurückgezogen. Jetzt ist klar warum: Ein Hacker konnte schwache Passwörter sammeln und hätte damit wohl die Hälfte des Node-Paket-Systems sowie sehr prominente Pakete infiltrieren können.

Vor zwei Wochen haben die Betreiber des Node-Paketdienstes NPM bekanntgegeben, dass das Team die Passwörter von etwa 1.000 Entwicklern zwangsweise zurückgezogen habe. Grund war das sehr einfache Auffinden dieser Passwörter durch einen unabhängigen Sicherheitsforscher. Dieser beschreibt nun das gesamte Ausmaß seiner Untersuchung. Demnach hätte die Hälfte aller Node-Pakete auf NPM leicht unterwandert werden können.

Anzeige

In der Auswertung, die der Forscher Andreevich auf Github veröffentlichte, heißt es, dass am Ende einer Sammelphase die Zugänge zu etwa 13 Prozent aller Node-Pakete ausfindig gemacht und damit Publikationsrechte bei NPM für die betroffenen Pakete erlangt werden konnten. Wegen des insbesondere bei Node sehr speziellen Systems der Paketabhängigkeiten wären damit laut Andreevich rund 50 Prozent aller NPM-Pakete von dem theoretischen Angriff betroffen.

Der Aufbau von Node und dem NPM-Ökosystem führte in der Vergangenheit bereits mehrfach zu Problemen. So nahm ein Entwickler wegen eines Markenstreits 250 Pakete offline, was enorm viel Builds zerstörte. Ebenso ist bereits ein theoretischer Angriff auf NPM über einen Wurm beschrieben worden.

Schwache und mehrfach genutzte Passwörter

Die Zugangsdaten konnte Andreevich durch vergleichsweise einfache Methoden erhalten. Es wird explizit darauf hingewiesen, dass der NPM-Dienst selbst zu keiner Zeit dafür hätte angegriffen werden müssen. Die betroffenen Entwickler haben schlicht entgegen üblicher Sicherheitserwägungen gehandelt.

So seien etwa Passwörter wie "123456", "123" und "password" genutzt worden, oder schlicht der Nutzername unverändert auch als Passwort. Ein großer Teil der erlangten Daten stammt außerdem aus bereits öffentlich zugänglichen Datenbanken mit bekannten Passwörtern. Einige der Zugangsdaten seien von Andreevich auch über Google oder bei Github aufgefunden worden.

Prominente Pakete betroffen

Die Auswertung zählt einige Pakete auf, für die Andreevich Publikationsrechte erlangen konnte. Vier der betroffenen Pakete seien in den Top-20 von NPM, 40 der betroffenen Nutzer pflegten zudem jeweils Pakete mit mehr als 10 Millionen Downloads im Monat. Pakete von 13 Nutzern hätten gar mehr als 50 Millionen Downloads pro Monat.

Tatsächlich ist die Liste beeindruckend. Darunter befinden sich etwa React und React-Native, Bower, Gulp oder auch Ember, die unter anderem produktiv von Facebook, Twitter, Yahoo und vielen anderen genutzt werden. Betroffen war zudem beispielsweise auch das Paket Express, das nach der Übernahme von Strongloop durch IBM bei der Node.js-Foundation gepflegt wird.

Weitere Details finden sich in der Auswertung. An der Umsetzung einer effektiven Gegenmaßnahme, der Zweifaktorauthentifzierung, wird bei dem NPM-Dienst noch gearbeitet. Besonders schwache Passwörter sind aber nicht mehr zugelassen.


eye home zur Startseite
twothe 25. Jun 2017

Nicht nur das Node.js Pakete im Mittel nach einem halben Jahr als veraltet gelten und...

Themenstart

/dev/42 24. Jun 2017

Das war eher als Anregung für npm gedacht. In besagter Github Installation sind in erster...

Themenstart

Geistesgegenwart 24. Jun 2017

Das Problem bei statischen Abhängigkeiten, die also z.B. im git miteingecheckt werden...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Sky Deutschland GmbH, Unterföhring
  2. Robert Bosch GmbH, Leonberg
  3. Radeberger Gruppe KG, Frankfurt am Main
  4. McFIT GmbH, Berlin


Anzeige
Top-Angebote
  1. 294,78€ (zur Zeit günstigste RX 580 mit 8 GB)
  2. 20,99€ + 5€ Versand (für Prime-Mitglieder)
  3. 39,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Auch Hybridfahrzeuge betroffen

    Großbritannien will Verbrenner ab 2040 verbieten

  2. KL AV Free

    Kaspersky will Virenscanner verschenken

  3. Roboterstaubsauger

    Roomba saugt neben Staub auch Daten

  4. Amazon

    Der Herr der Handyhüllen-Hölle

  5. Antriebsstrang aus Deutschland

    BMW baut elektrischen Mini in Oxford

  6. Adobe

    Die Flash-Ära endet 2020

  7. Falscher Schulz-Tweet

    Junge Union macht Wahlkampf mit Fake-News

  8. BiCS3 X4

    WDs Flash-Speicher fasst 96 GByte pro Chip

  9. ARM Trustzone

    Google bescheinigt Android Vertrauensprobleme

  10. Überbauen

    Telekom setzt Vectoring gegen Glasfaser der Kommunen ein



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Microsoft Surface Pro im Test: Dieses Tablet kann lange
Microsoft Surface Pro im Test
Dieses Tablet kann lange
  1. Microsoft Neues Surface Pro fährt sich ohne Grund selbst herunter
  2. iFixit-Teardown Surface Laptop ist fast nicht reparabel
  3. Surface Studio Microsofts Grafikerstation kommt nach Deutschland

Indiegames Rundschau: Meisterdiebe, Anti- und Arcadehelden
Indiegames Rundschau
Meisterdiebe, Anti- und Arcadehelden
  1. Jump So was wie Netflix für Indiegames
  2. Indiegames-Rundschau Weltraumabenteuer und Strandurlaub
  3. Indiegames-Rundschau Familienflüche, Albträume und Nostalgie

Ausprobiert: JPEGmini Pro komprimiert riesige JPEGs um bis zu 80 Prozent
Ausprobiert
JPEGmini Pro komprimiert riesige JPEGs um bis zu 80 Prozent
  1. Google KI erstellt professionelle Panoramen
  2. Bildbearbeitung Google gibt Nik Collection auf

  1. Re: Warum nicht 3 Zustände pro Bit ?

    dabbes | 10:21

  2. Re: Machen die Grünen immer wieder

    Midian | 10:19

  3. Re: Durchschnitt der Gesellschaft

    Daem | 10:19

  4. Re: Benutzen Googler eingentlich privat Android?

    logged_in | 10:18

  5. Re: DSLRs?

    ArcherV | 10:17


  1. 10:30

  2. 10:18

  3. 09:58

  4. 09:12

  5. 07:10

  6. 21:02

  7. 18:42

  8. 15:46


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel