Home » News » Security Management » Sicherheitsgefahr im npm-Ökosystem: „Manifest Confusion“

Sicherheitsgefahr im npm-Ökosystem: „Manifest Confusion“

In einem jüngsten Blogbeitrag von Darcy Clarke, ehemaliger Staff Engineering Manager bei GitHub, wurde eine potenzielle Sicherheitsbedrohung im npm-Ökosystem aufgedeckt. Dieses Problem, das als "Manifest Confusion" bekannt ist, wirft wichtige Fragen auf und betrifft auch Nutzer von Artifactory.

1 Min. Lesezeit
Foto: ©AdobeStock/Gonzalo

Das npm-Ökosystem bildet die Gesamtheit der Software-Entwicklungswerkzeuge, Bibliotheken, Module und Pakete im npm-Repository (Node Package Manager). Es umfasst eine Vielzahl wiederverwendbarer Codepakete, die von Entwicklern geschaffen wurden, um spezifische Funktionen oder Lösungen für gängige Probleme anzubieten.

Das Konzept von „Manifest Confusion“ beschreibt eine Sicherheitslücke im npm-Ökosystem, bei dem das Manifest eines Pakets und sein zugehöriges .tar-Archiv stets getrennt voneinander veröffentlicht werden. Diese beiden Teile werden nicht ausreichend validiert oder voneinander abgegrenzt, was potenziellen Angreifern erlaubt, gefälschte Metadaten und Abhängigkeiten zu deklarieren. Dadurch können schädliche Pakete im Tarball verborgen werden, ohne dass der Benutzer davon Kenntnis hat. Dieses Problem betrifft nicht nur das npm-Registry selbst, sondern kann auch andere Drittanbieter-Tools oder Plattformen betreffen, die Metadaten aus dem öffentlichen npm-Registry abrufen.

Bei der Nutzung von Artifactory gibt es verschiedene Repository-Typen: lokal, remote und virtuell. Lokale Repositorys sind von „Manifest Confusion“ nicht betroffen, während remote und virtuelle Repositorys anfällig sein können. Bei remote Repositorys werden Paket-Abhängigkeiten aus öffentlichen Repositorys geholt und zwischengespeichert, während virtuelle Repositorys lokale und remote Repositorys zu einem zentralen Zugangspunkt verbinden.

Benutzer von lokalen npm-Repositorys von Artifactory sind gegen diese Sicherheitslücke geschützt, da Pakete auf Basis der tatsächlichen package.json-Informationen indexiert und gespeichert werden. Somit wird verhindert, dass unerwünschte Pakete unter falschen Namen heruntergeladen werden. Bei remote Repositorys ist die Situation anders, da Artifactory das weiterleitet, was die Drittanbieter-Registry angibt. Wenn die Drittanbieter-Registry das .tar-Archiv nicht ausreichend validiert, können Sicherheitsprobleme auftreten. Dieses Problem betrifft auch virtuelle Repositorys, die Inhalte aus verschiedenen Quellen aggregieren.

Zur Risikominimierung empfehlen Experten von JFrog, folgende Best Practices anzuwenden:

  • Festlegen geeigneter Benutzerberechtigungen für Artifactory.
  • Die „Priority Resolution“-Funktion verwenden, um Prioritäten für lokale und remote Repositorys festzulegen.
  • Curation Policies einsetzen, um Open-Source-Pakete vor der Integration zu überprüfen.

Die Entdeckung von „Manifest Confusion“ verdeutlicht die Wichtigkeit der Integrität von Paketen im npm-Ökosystem. Während lokale Repositorys geschützt sind, sollten Nutzer von remote und virtuellen Repositorys zusätzliche Sicherheitsmaßnahmen treffen, um sich vor schadhaften Paketen zu schützen. Die Anwendung von Best Practices und die ständige Überprüfung der Software-Lieferkette sind essentiell, um mögliche Risiken zu minimieren.

 

Weitere Informationen zu diesem Thema (in Englisch) gibt es hier.

 

Andere interessante News

Post Quantum Kryptografie

Statement: Post-Quantum-Kryptografie als Bollwerk gegen Angriffe mit Quanten-Computern

Können kryptografische Verfahren wie RSA auch dann noch sicher sein, wenn extrem leistungsfähige Quantencomputer attackieren? Um sicher verschlüsselte Daten zu gewährleisten, ist es entscheidend, die Stärke der verwendeten Verschlüsselungsalgorithmen zu überprüfen.

Ransomware favorisiert IT- und Baubranche

Ein neuer Bericht bietet einen Einblick in die aktuelle Bedrohungslage im Cyberspace und zeigt auf, welche Branchen besonders oft von Hackerattacken betroffen sind. Eine wichtige Erkenntnis des Berichts ist, dass die IT- und Baubranche am häufigsten von Ransomware-Angriffen betroffen sind.

Geld für Cybersecurity

Wie Cybersicherheit mit ihren Kosten korrespondiert

Cyberangriffe sind eine große Gefahr für Unternehmen, Regierungen und Personen. Im letzten Jahr wurden die Kosten von Cyberangriffen weltweit auf 8 Billionen US-Dollar geschätzt. Doch ob mehr Geld in Cybersicherheit wirklich zu mehr Sicherheit führt, ist fraglich. Ein internationaler Vergleich verrät mehr darüber.