Aqua Security warnt: Fehler in npm-API macht Angriffe auf Software-Supply-Chain möglich

Aqua Security hat eine Schwachstelle in der API des zu GitHub gehörenden Anbieters npm aufgedeckt, über die Angreifer die Software-Supply-Chain angreifen können. npm ist ein Paketmanager für die JavaScript-Laufzeitumgebung Node.js. Über die Schwachstelle können Cyberkriminelle herausfinden, ob private Pakete auf dem Paketmanager existieren und anschließend Mitarbeiter über einen „Substitution Attack“ zum Herunterladen von ähnlich klingenden, gefälschten Versionen verleiten. Doch es gibt Möglichkeiten, wie Unternehmen die Risiken minimieren können.

Timing-Angriff legt Details von Paketen offen

Aquas Forscher konnten zeigen, dass Cyberkriminelle die Existenz von für die Softwareerstellung genutzten privaten Paketen mit Hilfe eines Timing-Angriffs über die API von npm erkennen können. Wenn Angreifer etwa fünf aufeinanderfolgende Anfragen nach Informationen über ein eventuell genutztes Code-Paket senden und dann die von npm zur Beantwortung benötigte Zeit analysieren, können sie feststellen, ob dieses Paket existiert oder früher existierte. Dies lässt den Schluss zu, dass dieser Fehler in die Architektur der API eingebettet ist und auf den Caching-Mechanismus zurückzuführen ist.

Angriff auf die Supply-Chain über gefälschte Code-Pakete

In den vergangenen Jahren registrierten Aquas Forscher einen drastischen Anstieg der Angriffe auf die Software-Supply-Chain um mehrere hundert Prozent. Diese von Team Nautilus, der Forschungseinheit von Aqua Security, entdeckte Angriffsart ist ein Beispiel einer breiteren Kategorie von Supply-Chain-Attacken.

In einigen Fällen versuchen die Angreifer, sich Zugang zu Open-Source-Paketen und Projekten zu verschaffen und diese mit bösartigem Code zu vergiften. In anderen Fällen täuschen sie vor, private oder öffentliche Pakete beziehungsweise Projekte zu sein, und schreiben deren Namen absichtlich falsch. Ziel ist es, ahnungslose Opfer dazu zu bringen, diese anstelle der legitimen Pakete herunterzuladen (beispielsweise „Padnas“ anstelle des Python-Pakets „Pandas“).

Gegenmaßnahmen

Aqua Security hat die Ergebnisse seiner Untersuchung an GitHub weitergegeben. Dem Anbieter zufolge ist die Architektur dieser API so beabsichtigt und es sind derzeit keine Änderungen geplant. Um sich vor Timing-Angriffen über die npm-API und folgenden Substitution Attacks zu rüsten, rät Aqua Security zu folgenden Gegenmaßnahmen:

• IT-Verantwortliche sollten eine Liste aller privaten und öffentlichen Pakete ihres Unternehmens auf allen Plattformen zur Paketverwaltung erstellen.
• Sie sollten außerdem aktiv nach folgenden Paketen suchen: „typo squatting“, „lookalikes“ oder „masquerading“ – und sich vergewissern, dass es keine anderen Pakete mit demselben Namen wie die internen privaten Pakete gibt.
• Falls sie ähnliche Pakete finden, sollten sie prüfen, ob diese Schad-Software enthalten – und bei Bedarf die betroffenen Kollegen informieren.
• Wenn sie keine öffentlichen Pakete finden, die den internen ähnlich sind, sollten sie die Erstellung öffentlicher Pakete als Platzhalter erwägen, um solche Angriffe zu verhindern.
• Weitere Informationen darüber, wie man sich bei der Nutzung von npm schützen kann, finden sich im npm-Blogbeitrag „Avoiding npm substitution attacks“.

 

Über Aqua Security Software Inc

Aqua Security stoppt Cloud-native Angriffe und ist das einzige Unternehmen, das die Sicherheit mit einer Cloud-Native-Protection-Warranty in Höhe von einer Million US-Dollar garantiert. Als Pionier und größtes reines Unternehmen für Cloud Native Security hilft Aqua Security seinen Kunden, Innovationen umzusetzen und die Zukunft ihres Unternehmens zu gestalten. Die Aqua-Plattform ist die branchenweit am stärksten integrierte Cloud Native Application Protection Platform (CNAPP), die Risiken priorisiert und die Prävention, Erkennung und Reaktion über den gesamten Lebenszyklus automatisiert. Aqua wurde 2015 gegründet und hat seinen Hauptsitz in Boston und Ramat Gan (Israel), mit Fortune-1000-Kunden in über 40 Ländern. www.aquasec.com

Firmenkontakt und Herausgeber der Meldung:

Aqua Security Software Inc
800 District Avenue, Suite 510
USAMA 01803 Burlington
Telefon: +1 (781) 362-4787
http://www.aquasec.com/

Ansprechpartner:
Marcus Wenning
Touchdown PR
Telefon: +49 (89) 2152644-79
E-Mail: Aqua_DACH@touchdownpr.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel