Sicherheitsvorfall: npm ruft Nutzer zur Reauthentifizierung auf

Nachdem ein Angreifer Pakete mit Schadcode auf der Plattform des Paketmanagers platzieren konnte, hat npm vorsorglich Zugangs-Tokens annulliert.

In Pocket speichern vorlesen Druckansicht 10 Kommentare lesen
Sicherheitsvorfall: npm ruft Nutzer zur Reauthentifizierung auf
Lesezeit: 2 Min.
Von
  • Matthias Parbel

Am Morgen des 12. Juli 2018 ist es offenbar einem Angreifer gelungen, über einen kompromittierten Account Zugriff auf die Plattform des Paketmanagers npm zu erlangen und eine Reihe von Paketen mit Schadcode zu infizieren. Daraufhin hat npm nach eigenen Angaben umgehend Maßnahmen zum Schutz der registrierten Nutzer ergriffen und sämtliche Zugangs-Tokens annulliert, die vor 14:30 Uhr UTC an diesem Tag authentifiziert worden waren. Die dadurch erforderliche Reauthentifizierung von knapp 4500 potenziell betroffenen Accounts will npm aber lediglich als Vorsichtsmaßnahme verstanden wissen, da die Plattformbetreiber keine Anhaltspunkte für die Kompromittierung weiterer npmjs.com-Accounts festgestellt hätten.

Wie das Team hinter dem JavaScript-Linter-Tool ESLint mitteilte, war der Account eines ESLint-Maintainers von der Attacke betroffen. Der Angreifer hatte darüber mit Schadcode infizierte Versionen der Pakete eslint-scope und eslint-config-eslint in die npm-Registry eingespielt. Im Falle einer Installation würden diese Pakete Code von pastebin.com laden und ausführen, der daraufhin den Inhalt aus der .npmrc-Datei des betroffenen Nutzers an den Angreifer schickt. Da .npmrc typischerweise auch Zugangs-Tokens für das Publizieren auf npm enthält, zielt die Angriffsmethode offenbar auch auf die Kompromittierung weiterer Accounts ab.

Die betroffenen Paketversionen eslint-scope@3.7.2 und eslint-config-eslint@5.0.2 sowie der verlinkte Bereich in pastebin.com wurden von npm umgehend entfernt. Darüber hinaus soll eine umfassende forensische Analyse sicherstellen, dass weder andere Accounts kompromittiert wurden, noch weiterer Schadcode verbreitet wurde. Das Team von npm weist in diesem Zusammenhang darauf hin, dass der erfolgte Angriff nicht auf Schwachstellen der Plattform zurückzuführen sei. Um dennoch die Sicherheit von npmjs.com weiter zu verbessern, appelliert der Betreiber mit Nachdruck an alle registrierten Nutzer, ihre Accounts auf Zwei-Faktor-Authentifizierung umzustellen – eine Schutzmaßnahme, die den erfolgten Angriff hätte verhindern können. (map)