Abo
  • Services:
Anzeige
Auch prominente NPM-Entwickler nutzen schwache Passwörter.
Auch prominente NPM-Entwickler nutzen schwache Passwörter. (Bild: NPM)

Node.js: Hälfte der NPM-Pakete durch schwache Passwörter verwundbar

Auch prominente NPM-Entwickler nutzen schwache Passwörter.
Auch prominente NPM-Entwickler nutzen schwache Passwörter. (Bild: NPM)

Der NPM-Dienst hat vor zwei Wochen Passwörter von Entwicklern zurückgezogen. Jetzt ist klar warum: Ein Hacker konnte schwache Passwörter sammeln und hätte damit wohl die Hälfte des Node-Paket-Systems sowie sehr prominente Pakete infiltrieren können.

Vor zwei Wochen haben die Betreiber des Node-Paketdienstes NPM bekanntgegeben, dass das Team die Passwörter von etwa 1.000 Entwicklern zwangsweise zurückgezogen habe. Grund war das sehr einfache Auffinden dieser Passwörter durch einen unabhängigen Sicherheitsforscher. Dieser beschreibt nun das gesamte Ausmaß seiner Untersuchung. Demnach hätte die Hälfte aller Node-Pakete auf NPM leicht unterwandert werden können.

Anzeige

In der Auswertung, die der Forscher Andreevich auf Github veröffentlichte, heißt es, dass am Ende einer Sammelphase die Zugänge zu etwa 13 Prozent aller Node-Pakete ausfindig gemacht und damit Publikationsrechte bei NPM für die betroffenen Pakete erlangt werden konnten. Wegen des insbesondere bei Node sehr speziellen Systems der Paketabhängigkeiten wären damit laut Andreevich rund 50 Prozent aller NPM-Pakete von dem theoretischen Angriff betroffen.

Der Aufbau von Node und dem NPM-Ökosystem führte in der Vergangenheit bereits mehrfach zu Problemen. So nahm ein Entwickler wegen eines Markenstreits 250 Pakete offline, was enorm viel Builds zerstörte. Ebenso ist bereits ein theoretischer Angriff auf NPM über einen Wurm beschrieben worden.

Schwache und mehrfach genutzte Passwörter

Die Zugangsdaten konnte Andreevich durch vergleichsweise einfache Methoden erhalten. Es wird explizit darauf hingewiesen, dass der NPM-Dienst selbst zu keiner Zeit dafür hätte angegriffen werden müssen. Die betroffenen Entwickler haben schlicht entgegen üblicher Sicherheitserwägungen gehandelt.

So seien etwa Passwörter wie "123456", "123" und "password" genutzt worden, oder schlicht der Nutzername unverändert auch als Passwort. Ein großer Teil der erlangten Daten stammt außerdem aus bereits öffentlich zugänglichen Datenbanken mit bekannten Passwörtern. Einige der Zugangsdaten seien von Andreevich auch über Google oder bei Github aufgefunden worden.

Prominente Pakete betroffen

Die Auswertung zählt einige Pakete auf, für die Andreevich Publikationsrechte erlangen konnte. Vier der betroffenen Pakete seien in den Top-20 von NPM, 40 der betroffenen Nutzer pflegten zudem jeweils Pakete mit mehr als 10 Millionen Downloads im Monat. Pakete von 13 Nutzern hätten gar mehr als 50 Millionen Downloads pro Monat.

Tatsächlich ist die Liste beeindruckend. Darunter befinden sich etwa React und React-Native, Bower, Gulp oder auch Ember, die unter anderem produktiv von Facebook, Twitter, Yahoo und vielen anderen genutzt werden. Betroffen war zudem beispielsweise auch das Paket Express, das nach der Übernahme von Strongloop durch IBM bei der Node.js-Foundation gepflegt wird.

Weitere Details finden sich in der Auswertung. An der Umsetzung einer effektiven Gegenmaßnahme, der Zweifaktorauthentifzierung, wird bei dem NPM-Dienst noch gearbeitet. Besonders schwache Passwörter sind aber nicht mehr zugelassen.


eye home zur Startseite
twothe 25. Jun 2017

Nicht nur das Node.js Pakete im Mittel nach einem halben Jahr als veraltet gelten und...

/dev/42 24. Jun 2017

Das war eher als Anregung für npm gedacht. In besagter Github Installation sind in erster...

Geistesgegenwart 24. Jun 2017

Das Problem bei statischen Abhängigkeiten, die also z.B. im git miteingecheckt werden...



Anzeige

Stellenmarkt
  1. MediaMarktSaturn Retail Group, Erfurt
  2. BSH Hausgeräte GmbH, München
  3. Fraunhofer-Institut für Kurzzeitdynamik, Ernst-Mach-Institut, EMI, Efringen-Kirchen
  4. Gentherm GmbH, Odelzhausen


Anzeige
Hardware-Angebote
  1. 59,90€
  2. 1.499,00€
  3. bei Alternate.de

Folgen Sie uns
       


  1. eActros

    Elektrischer Mercedes-Benz-Lkw fährt schon 2018

  2. Snapdragon 5G

    Qualcomm nutzt Samsungs 7LPP-EUV-Fertigung

  3. Retrofit Kit

    Alte MacOS-Versionen für APFS fit machen

  4. Porto Santo

    Renault will Elektroinsel schaffen

  5. LED-Lampen

    Computer machen neues Licht

  6. Signal Foundation

    Whatsapp-Gründer investiert 50 Millionen US-Dollar in Signal

  7. Astronomie

    Amateur beobachtet erstmals die Geburt einer Supernova

  8. Internet der Dinge

    Bosch will die totale Vernetzung

  9. Bad News

    Browsergame soll Mechanismen von Fake News erklären

  10. Facebook

    Denn sie wissen nicht, worin sie einwilligen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Axel Voss: "Das Leistungsschutzrecht ist nicht die beste Idee"
Axel Voss
"Das Leistungsschutzrecht ist nicht die beste Idee"
  1. Leistungsschutzrecht EU-Ratspräsidentschaft schlägt deutsches Modell vor
  2. Fake News Murdoch fordert von Facebook Sendegebühr für Medien
  3. EU-Urheberrechtsreform Abmahnungen treffen "nur die Dummen"

Sam's Journey im Test: Ein Kaufgrund für den C64
Sam's Journey im Test
Ein Kaufgrund für den C64
  1. THEC64 Mini C64-Emulator erscheint am 29. März in Deutschland
  2. Sam's Journey Neues Kaufspiel für C64 veröffentlicht

Star Trek Discovery: Die verflixte 13. Folge
Star Trek Discovery
Die verflixte 13. Folge
  1. Star Trek Bridge Crew Sternenflotte verlässt Holodeck

  1. Re: Kurzfristig...

    gadthrawn | 08:14

  2. Re: Graphics Card

    saracanaday225 | 08:14

  3. Re: Subnautica

    Sharkuu | 08:09

  4. Re: Sehr guter Artikel!

    Richy-Holly | 08:04

  5. Re: "erste [...] überhaupt, das aus dieser...

    Axcyer | 08:04


  1. 07:44

  2. 07:34

  3. 07:25

  4. 07:14

  5. 07:00

  6. 21:26

  7. 19:00

  8. 17:48


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel