Sicherheitsgefahr im npm-Ökosystem: „Manifest Confusion“

Das npm-Ökosystem bildet die Gesamtheit der Software-Entwicklungswerkzeuge, Bibliotheken, Module und Pakete im npm-Repository (Node Package Manager). Es umfasst eine Vielzahl wiederverwendbarer Codepakete, die von Entwicklern geschaffen wurden, um spezifische Funktionen oder Lösungen für gängige Probleme anzubieten.

Das Konzept von „Manifest Confusion“ beschreibt eine Sicherheitslücke im npm-Ökosystem, bei dem das Manifest eines Pakets und sein zugehöriges .tar-Archiv stets getrennt voneinander veröffentlicht werden. Diese beiden Teile werden nicht ausreichend validiert oder voneinander abgegrenzt, was potenziellen Angreifern erlaubt, gefälschte Metadaten und Abhängigkeiten zu deklarieren. Dadurch können schädliche Pakete im Tarball verborgen werden, ohne dass der Benutzer davon Kenntnis hat. Dieses Problem betrifft nicht nur das npm-Registry selbst, sondern kann auch andere Drittanbieter-Tools oder Plattformen betreffen, die Metadaten aus dem öffentlichen npm-Registry abrufen.

Bei der Nutzung von Artifactory gibt es verschiedene Repository-Typen: lokal, remote und virtuell. Lokale Repositorys sind von „Manifest Confusion“ nicht betroffen, während remote und virtuelle Repositorys anfällig sein können. Bei remote Repositorys werden Paket-Abhängigkeiten aus öffentlichen Repositorys geholt und zwischengespeichert, während virtuelle Repositorys lokale und remote Repositorys zu einem zentralen Zugangspunkt verbinden.

Benutzer von lokalen npm-Repositorys von Artifactory sind gegen diese Sicherheitslücke geschützt, da Pakete auf Basis der tatsächlichen package.json-Informationen indexiert und gespeichert werden. Somit wird verhindert, dass unerwünschte Pakete unter falschen Namen heruntergeladen werden. Bei remote Repositorys ist die Situation anders, da Artifactory das weiterleitet, was die Drittanbieter-Registry angibt. Wenn die Drittanbieter-Registry das .tar-Archiv nicht ausreichend validiert, können Sicherheitsprobleme auftreten. Dieses Problem betrifft auch virtuelle Repositorys, die Inhalte aus verschiedenen Quellen aggregieren.

Zur Risikominimierung empfehlen Experten von JFrog, folgende Best Practices anzuwenden:

• Festlegen geeigneter Benutzerberechtigungen für Artifactory.
• Die „Priority Resolution“-Funktion verwenden, um Prioritäten für lokale und remote Repositorys festzulegen.
• Curation Policies einsetzen, um Open-Source-Pakete vor der Integration zu überprüfen.

Die Entdeckung von „Manifest Confusion“ verdeutlicht die Wichtigkeit der Integrität von Paketen im npm-Ökosystem. Während lokale Repositorys geschützt sind, sollten Nutzer von remote und virtuellen Repositorys zusätzliche Sicherheitsmaßnahmen treffen, um sich vor schadhaften Paketen zu schützen. Die Anwendung von Best Practices und die ständige Überprüfung der Software-Lieferkette sind essentiell, um mögliche Risiken zu minimieren.

Weitere Informationen zu diesem Thema (in Englisch) gibt es hier.