Abo
  • IT-Karriere:

Node.js: Hälfte der NPM-Pakete durch schwache Passwörter verwundbar

Der NPM-Dienst hat vor zwei Wochen Passwörter von Entwicklern zurückgezogen. Jetzt ist klar warum: Ein Hacker konnte schwache Passwörter sammeln und hätte damit wohl die Hälfte des Node-Paket-Systems sowie sehr prominente Pakete infiltrieren können.

Artikel veröffentlicht am ,
Auch prominente NPM-Entwickler nutzen schwache Passwörter.
Auch prominente NPM-Entwickler nutzen schwache Passwörter. (Bild: NPM)

Vor zwei Wochen haben die Betreiber des Node-Paketdienstes NPM bekanntgegeben, dass das Team die Passwörter von etwa 1.000 Entwicklern zwangsweise zurückgezogen habe. Grund war das sehr einfache Auffinden dieser Passwörter durch einen unabhängigen Sicherheitsforscher. Dieser beschreibt nun das gesamte Ausmaß seiner Untersuchung. Demnach hätte die Hälfte aller Node-Pakete auf NPM leicht unterwandert werden können.

Stellenmarkt
  1. Haufe Group, Freiburg
  2. LEW Service & Consulting GmbH, Augsburg

In der Auswertung, die der Forscher Andreevich auf Github veröffentlichte, heißt es, dass am Ende einer Sammelphase die Zugänge zu etwa 13 Prozent aller Node-Pakete ausfindig gemacht und damit Publikationsrechte bei NPM für die betroffenen Pakete erlangt werden konnten. Wegen des insbesondere bei Node sehr speziellen Systems der Paketabhängigkeiten wären damit laut Andreevich rund 50 Prozent aller NPM-Pakete von dem theoretischen Angriff betroffen.

Der Aufbau von Node und dem NPM-Ökosystem führte in der Vergangenheit bereits mehrfach zu Problemen. So nahm ein Entwickler wegen eines Markenstreits 250 Pakete offline, was enorm viel Builds zerstörte. Ebenso ist bereits ein theoretischer Angriff auf NPM über einen Wurm beschrieben worden.

Schwache und mehrfach genutzte Passwörter

Die Zugangsdaten konnte Andreevich durch vergleichsweise einfache Methoden erhalten. Es wird explizit darauf hingewiesen, dass der NPM-Dienst selbst zu keiner Zeit dafür hätte angegriffen werden müssen. Die betroffenen Entwickler haben schlicht entgegen üblicher Sicherheitserwägungen gehandelt.

So seien etwa Passwörter wie "123456", "123" und "password" genutzt worden, oder schlicht der Nutzername unverändert auch als Passwort. Ein großer Teil der erlangten Daten stammt außerdem aus bereits öffentlich zugänglichen Datenbanken mit bekannten Passwörtern. Einige der Zugangsdaten seien von Andreevich auch über Google oder bei Github aufgefunden worden.

Prominente Pakete betroffen

Die Auswertung zählt einige Pakete auf, für die Andreevich Publikationsrechte erlangen konnte. Vier der betroffenen Pakete seien in den Top-20 von NPM, 40 der betroffenen Nutzer pflegten zudem jeweils Pakete mit mehr als 10 Millionen Downloads im Monat. Pakete von 13 Nutzern hätten gar mehr als 50 Millionen Downloads pro Monat.

Tatsächlich ist die Liste beeindruckend. Darunter befinden sich etwa React und React-Native, Bower, Gulp oder auch Ember, die unter anderem produktiv von Facebook, Twitter, Yahoo und vielen anderen genutzt werden. Betroffen war zudem beispielsweise auch das Paket Express, das nach der Übernahme von Strongloop durch IBM bei der Node.js-Foundation gepflegt wird.

Weitere Details finden sich in der Auswertung. An der Umsetzung einer effektiven Gegenmaßnahme, der Zweifaktorauthentifzierung, wird bei dem NPM-Dienst noch gearbeitet. Besonders schwache Passwörter sind aber nicht mehr zugelassen.



Anzeige
Top-Angebote
  1. 659,00€
  2. 227,74€ (Bestpreis!)
  3. 69,90€ (Bestpreis!)

twothe 25. Jun 2017

Nicht nur das Node.js Pakete im Mittel nach einem halben Jahr als veraltet gelten und...

/dev/42 24. Jun 2017

Das war eher als Anregung für npm gedacht. In besagter Github Installation sind in erster...

Geistesgegenwart 24. Jun 2017

Das Problem bei statischen Abhängigkeiten, die also z.B. im git miteingecheckt werden...


Folgen Sie uns
       


Qualcomm Snapdragon 8cx ausprobiert

Der Snapdragon 8cx ist Qualcomms nächster Chip für Notebooks mit Windows 10 von ARM. Die ersten Performance-Messungen sehen das SoC auf dem Niveau eines aktuellen Quadcore-Ultrabook-Prozessors von Intel.

Qualcomm Snapdragon 8cx ausprobiert Video aufrufen
5G-Report: Nicht jedes Land braucht zur Frequenzvergabe Auktionen
5G-Report
Nicht jedes Land braucht zur Frequenzvergabe Auktionen

Die umstrittene Versteigerung von 5G-Frequenzen durch die Bundesnetzagentur ist zu Ende. Die Debatte darüber, wie Funkspektrum verteilt werden soll, geht weiter. Wir haben uns die Praxis in anderen Ländern angeschaut.
Ein Bericht von Stefan Krempl

  1. Telefónica Deutschland Samsung will in Deutschland 5G-Netze aufbauen
  2. Landtag Niedersachsen beschließt Ausstieg aus DAB+
  3. Vodafone 5G-Technik funkt im Werk des Elektroautoherstellers e.Go

Ocean Discovery X Prize: Autonome Fraunhofer-Roboter erforschen die Tiefsee
Ocean Discovery X Prize
Autonome Fraunhofer-Roboter erforschen die Tiefsee

Öffentliche Vergaberichtlinien und agile Arbeitsweise: Die Teilnahme am Ocean Discovery X Prize war nicht einfach für die Forscher des Fraunhofer Instituts IOSB. Deren autonome Tauchroboter zur Tiefseekartierung schafften es unter die besten fünf weltweit.
Ein Bericht von Werner Pluta

  1. JAB Code Bunter Barcode gegen Fälschungen

WD Blue SN500 ausprobiert: Die flotte günstige Blaue
WD Blue SN500 ausprobiert
Die flotte günstige Blaue

Mit der WD Blue SN500 bietet Western Digital eine spannende NVMe-SSD an: Das M.2-Kärtchen basiert auf einem selbst entwickelten Controller und eigenem Flash-Speicher. Das Resultat ist ein schnelles, vor allem aber günstiges Modell als bessere Alternative zu Sata-SSDs.
Von Marc Sauter

  1. WD Black SN750 ausprobiert Direkt hinter Samsungs SSDs
  2. WD Black SN750 Leicht optimierte NVMe-SSD mit 2 TByte
  3. Ultrastar DC ME200 Western Digital baut PCIe-Arbeitsspeicher mit 4 TByte

    •  /