Home » News » Security Management » Sicherheitsgefahr im npm-Ökosystem: „Manifest Confusion“

Sicherheitsgefahr im npm-Ökosystem: „Manifest Confusion“

In einem jüngsten Blogbeitrag von Darcy Clarke, ehemaliger Staff Engineering Manager bei GitHub, wurde eine potenzielle Sicherheitsbedrohung im npm-Ökosystem aufgedeckt. Dieses Problem, das als "Manifest Confusion" bekannt ist, wirft wichtige Fragen auf und betrifft auch Nutzer von Artifactory.

1 Min. Lesezeit
Foto: ©AdobeStock/Gonzalo

Das npm-Ökosystem bildet die Gesamtheit der Software-Entwicklungswerkzeuge, Bibliotheken, Module und Pakete im npm-Repository (Node Package Manager). Es umfasst eine Vielzahl wiederverwendbarer Codepakete, die von Entwicklern geschaffen wurden, um spezifische Funktionen oder Lösungen für gängige Probleme anzubieten.

Das Konzept von „Manifest Confusion“ beschreibt eine Sicherheitslücke im npm-Ökosystem, bei dem das Manifest eines Pakets und sein zugehöriges .tar-Archiv stets getrennt voneinander veröffentlicht werden. Diese beiden Teile werden nicht ausreichend validiert oder voneinander abgegrenzt, was potenziellen Angreifern erlaubt, gefälschte Metadaten und Abhängigkeiten zu deklarieren. Dadurch können schädliche Pakete im Tarball verborgen werden, ohne dass der Benutzer davon Kenntnis hat. Dieses Problem betrifft nicht nur das npm-Registry selbst, sondern kann auch andere Drittanbieter-Tools oder Plattformen betreffen, die Metadaten aus dem öffentlichen npm-Registry abrufen.

Bei der Nutzung von Artifactory gibt es verschiedene Repository-Typen: lokal, remote und virtuell. Lokale Repositorys sind von „Manifest Confusion“ nicht betroffen, während remote und virtuelle Repositorys anfällig sein können. Bei remote Repositorys werden Paket-Abhängigkeiten aus öffentlichen Repositorys geholt und zwischengespeichert, während virtuelle Repositorys lokale und remote Repositorys zu einem zentralen Zugangspunkt verbinden.

Benutzer von lokalen npm-Repositorys von Artifactory sind gegen diese Sicherheitslücke geschützt, da Pakete auf Basis der tatsächlichen package.json-Informationen indexiert und gespeichert werden. Somit wird verhindert, dass unerwünschte Pakete unter falschen Namen heruntergeladen werden. Bei remote Repositorys ist die Situation anders, da Artifactory das weiterleitet, was die Drittanbieter-Registry angibt. Wenn die Drittanbieter-Registry das .tar-Archiv nicht ausreichend validiert, können Sicherheitsprobleme auftreten. Dieses Problem betrifft auch virtuelle Repositorys, die Inhalte aus verschiedenen Quellen aggregieren.

Zur Risikominimierung empfehlen Experten von JFrog, folgende Best Practices anzuwenden:

  • Festlegen geeigneter Benutzerberechtigungen für Artifactory.
  • Die „Priority Resolution“-Funktion verwenden, um Prioritäten für lokale und remote Repositorys festzulegen.
  • Curation Policies einsetzen, um Open-Source-Pakete vor der Integration zu überprüfen.

Die Entdeckung von „Manifest Confusion“ verdeutlicht die Wichtigkeit der Integrität von Paketen im npm-Ökosystem. Während lokale Repositorys geschützt sind, sollten Nutzer von remote und virtuellen Repositorys zusätzliche Sicherheitsmaßnahmen treffen, um sich vor schadhaften Paketen zu schützen. Die Anwendung von Best Practices und die ständige Überprüfung der Software-Lieferkette sind essentiell, um mögliche Risiken zu minimieren.

 

Weitere Informationen zu diesem Thema (in Englisch) gibt es hier.

 

Andere interessante News

Handy Betrug

Vorsicht Abzocke: Hype um iPhone-16-Release lockt Betrüger

Mit dem Hype um den Release des neuen iPhone 16 nutzen Cyberkriminelle die Begeisterung der Apple-Fans schamlos aus: Sie locken ahnungslose Nutzer mit Möglichkeiten für (gefälschte...

Phishing-Mail

Warnung: Mobile Phishing-Angriffe nehmen massiv zu

Vier von fünf Phishing-Seiten zielen speziell auf mobile Geräte ab. Mobile Phishing umfasst Methoden wie SMS-Phishing (Smishing), Voice-Phishing (Vishing), App-, E-Mail- und Social...

Frau bei Videokonferenz

BSI erklärt Videokonferenzdienst Zoom für sicher

Der Videokonferenzanbieter Zoom hat jetzt zwei IT-Sicherheitskennzeichen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten. BSI-Vizepräsident Dr. Gerhard Schab...