Abo
  • Services:

Node.js: Hälfte der NPM-Pakete durch schwache Passwörter verwundbar

Der NPM-Dienst hat vor zwei Wochen Passwörter von Entwicklern zurückgezogen. Jetzt ist klar warum: Ein Hacker konnte schwache Passwörter sammeln und hätte damit wohl die Hälfte des Node-Paket-Systems sowie sehr prominente Pakete infiltrieren können.

Artikel veröffentlicht am ,
Auch prominente NPM-Entwickler nutzen schwache Passwörter.
Auch prominente NPM-Entwickler nutzen schwache Passwörter. (Bild: NPM)

Vor zwei Wochen haben die Betreiber des Node-Paketdienstes NPM bekanntgegeben, dass das Team die Passwörter von etwa 1.000 Entwicklern zwangsweise zurückgezogen habe. Grund war das sehr einfache Auffinden dieser Passwörter durch einen unabhängigen Sicherheitsforscher. Dieser beschreibt nun das gesamte Ausmaß seiner Untersuchung. Demnach hätte die Hälfte aller Node-Pakete auf NPM leicht unterwandert werden können.

Stellenmarkt
  1. Lidl Digital, Leingarten
  2. ETL Paul Schlegel Holding GmbH, Solingen

In der Auswertung, die der Forscher Andreevich auf Github veröffentlichte, heißt es, dass am Ende einer Sammelphase die Zugänge zu etwa 13 Prozent aller Node-Pakete ausfindig gemacht und damit Publikationsrechte bei NPM für die betroffenen Pakete erlangt werden konnten. Wegen des insbesondere bei Node sehr speziellen Systems der Paketabhängigkeiten wären damit laut Andreevich rund 50 Prozent aller NPM-Pakete von dem theoretischen Angriff betroffen.

Der Aufbau von Node und dem NPM-Ökosystem führte in der Vergangenheit bereits mehrfach zu Problemen. So nahm ein Entwickler wegen eines Markenstreits 250 Pakete offline, was enorm viel Builds zerstörte. Ebenso ist bereits ein theoretischer Angriff auf NPM über einen Wurm beschrieben worden.

Schwache und mehrfach genutzte Passwörter

Die Zugangsdaten konnte Andreevich durch vergleichsweise einfache Methoden erhalten. Es wird explizit darauf hingewiesen, dass der NPM-Dienst selbst zu keiner Zeit dafür hätte angegriffen werden müssen. Die betroffenen Entwickler haben schlicht entgegen üblicher Sicherheitserwägungen gehandelt.

So seien etwa Passwörter wie "123456", "123" und "password" genutzt worden, oder schlicht der Nutzername unverändert auch als Passwort. Ein großer Teil der erlangten Daten stammt außerdem aus bereits öffentlich zugänglichen Datenbanken mit bekannten Passwörtern. Einige der Zugangsdaten seien von Andreevich auch über Google oder bei Github aufgefunden worden.

Prominente Pakete betroffen

Die Auswertung zählt einige Pakete auf, für die Andreevich Publikationsrechte erlangen konnte. Vier der betroffenen Pakete seien in den Top-20 von NPM, 40 der betroffenen Nutzer pflegten zudem jeweils Pakete mit mehr als 10 Millionen Downloads im Monat. Pakete von 13 Nutzern hätten gar mehr als 50 Millionen Downloads pro Monat.

Tatsächlich ist die Liste beeindruckend. Darunter befinden sich etwa React und React-Native, Bower, Gulp oder auch Ember, die unter anderem produktiv von Facebook, Twitter, Yahoo und vielen anderen genutzt werden. Betroffen war zudem beispielsweise auch das Paket Express, das nach der Übernahme von Strongloop durch IBM bei der Node.js-Foundation gepflegt wird.

Weitere Details finden sich in der Auswertung. An der Umsetzung einer effektiven Gegenmaßnahme, der Zweifaktorauthentifzierung, wird bei dem NPM-Dienst noch gearbeitet. Besonders schwache Passwörter sind aber nicht mehr zugelassen.



Anzeige
Top-Angebote
  1. 6,49€
  2. 219€ (Vergleichspreis 251€)
  3. 19,89€ inkl. Versand (Vergleichspreis ca. 30€)

twothe 25. Jun 2017

Nicht nur das Node.js Pakete im Mittel nach einem halben Jahr als veraltet gelten und...

/dev/42 24. Jun 2017

Das war eher als Anregung für npm gedacht. In besagter Github Installation sind in erster...

Geistesgegenwart 24. Jun 2017

Das Problem bei statischen Abhängigkeiten, die also z.B. im git miteingecheckt werden...


Folgen Sie uns
       


Volocopter auf der Cebit 2018 angesehen

Im autonomen Volocopter haben zwei Personen mit zusammen höchstens 160 Kilogramm Platz - wir haben uns auf der Cebit 2018 trotzdem reingesetzt.

Volocopter auf der Cebit 2018 angesehen Video aufrufen
Windenergie: Wie umweltfreundlich sind Offshore-Windparks?
Windenergie
Wie umweltfreundlich sind Offshore-Windparks?

Windturbinen auf hoher See liefern verlässlich grünen Strom. Frei von Umwelteinflüssen sind sie aber nicht. Während die eine Tierart profitiert, leidet die andere. Doch Abhilfe ist in Sicht.
Ein Bericht von Daniel Hautmann

  1. Hywind Scotland Windkraft Ahoi

Indiegames-Rundschau: Schiffbruch, Anime und viel Brummbrumm
Indiegames-Rundschau
Schiffbruch, Anime und viel Brummbrumm

Gas geben, den weißen Hai besiegen und endlich die eine verlorene Socke wiederfinden: Die sommerlichen Indiegames bieten für jeden etwas - besonders fürs Spielen zu zweit.
Von Rainer Sigl

  1. Indiegames-Rundschau Schwerelose Action statt höllischer Qualen
  2. Indiegames-Rundschau Kampfkrieger und Abenteuer in 1001 Nacht
  3. Indiegames-Rundschau Mutige Mäuse und tapfere Trabbis

Raumfahrt: Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa
Raumfahrt
Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa

Die neuen Raumschiffe von Boeing und SpaceX verspäten sich und werden wohl erst 2020 mit Crew fliegen. Die Aufsichtsbehörde der US-Regierung sieht einen Teil der Schuld beim Chaos im Nasa-Management.
Von Frank Wunderlich-Pfeiffer

  1. Nasa-Teleskop Überambitioniert, überteuert und in dieser Form überflüssig
  2. Nasa Forscher entdecken Asteroiden, bevor er die Erde erreicht
  3. Nasa 2020 soll ein Helikopter zum Mars fliegen

    •  /