Unsichtbare npm-Schadsoftware umgeht Sicherheitsprüfungen mit manipulierten Versionen
[ad_1]
Dasjenige Kommandozeilenwerkzeug des Paketmanagers npm verfügt darüber hinaus verdongeln praktischen Sicherheitsgurt: Schon nebst welcher Installation eines Pakets darüber hinaus die Kommandozeile überprüft npm dies Päckchen samt aller Abhängigkeiten aufwärts bekannte Schwachstellen. Die Installation eines Pakets mit dem Kommando npm install löst selbige Prüfung unaufgefordert aus, wiewohl welcher Kommando npm audit stößt sie an. Die Sicherheitsmaßnahme gilt denn wichtiges Element von npm, dies Entwicklerinnen und Entwickler vor dem Kapitaleinsatz von Paketen warnt, die schon bekannte Sicherheitslücken enthalten.
Unerwartetes Verhalten welcher npm-Werkzeuge nebst Vorabversionen
Nun nach sich ziehen Sicherheitsforscher des IT-Security-Unternehmens JFrog einem Item in ihrem Internet-Tagebuch zufolge unerwartetes Verhalten in den npm-Werkzeugen festgestellt. Zum Besten von Pakete bestimmter Versionsformate scheinen npm install und npm audit keine sicherheitsrelevanten Hinweise anzuzeigen. Wer selbige Pakete verwendet, ist ergo potenziell dem Risiko ausgesetzt, kritische Sicherheitslücken oder Schadsoftware in die eigenen Systeme oder denn indirekte Hörigkeit in die verwendeten npm-Pakete einzubringen.
Diskrepanz nebst gemeldeten Lücken führte aufwärts die Spur
Den Forschern des JFrog Vulnerability Research Tem war nebst welcher Arbeit mit einigen npm-Paketen eine merkwürdige Diskrepanz zwischen den gemeldeten Sicherheitslücken aufgefallen, die dies npm-eigene Kommandozeilentool und dies JFrog-Tool Xray jeweils mitteilten. Konkret nebst welcher Installation des Pakets cruddl 2.0.0-update.2 erhielt dies Team von beiden Tools abweichende Hinweise aufwärts Sicherheitslücken. Die Scanner von npm fanden z. Hd. dieses Päckchen keine Lücken, Xray hingegen machte eine bekannte Schwachstelle aus (CVE-2022-36084). Die Diskrepanz trat nur aufwärts, wenn die installierte Paketversion verdongeln Mittestrich im Namen enthielt.
Da welcher Quellcode welcher npm-Computerprogramm proprietär ist, lässt sich nicht ohne Weiteres feststellen, welches dies Problem verursacht. Grundlegend gilt, dass jedes Advisory darüber hinaus ein Feld verfügt, dies logische Ausdrücke wie zum Beispiel > 6.6.0 enthält, um Bereiche betroffener Versionen zu charakterisieren. Erfüllt eine Version solch verdongeln logischen Term, gilt sie denn verwundbar und die Pakettools können unaufgefordert eine Warnung zuteilen.
Virtuell reguläre Pakete können potenziell Schadsoftware enthalten
Angreifer können sich diesen Ungemach zunutze zeugen, während sie schädlichen Schlüssel in virtuell reguläre Pakete entwickeln. Entwickler, die sich z. Hd. die Funktionen eines bestimmten Pakets interessieren, können damit in Kontakt geraten, demgegenüber wiewohl durch Typosquatting oder Dependency Confusion lässt sich die Schadsoftware verteilen. Wer sich von einem präparierten Päckchen hat täuschen lassen, läuft Gefahr, angegriffen zu werden, da die Bordmittel des Paketmanagers die Gefahr nicht wiedererkennen und die Nutzer nicht je nach warnen können: Gehört die Versionsnummer zu einer Vorabversion, berichtet dies Kommandozeilenwerkzeug nicht darüber hinaus bestehende Advisories.
Eine Referenz, um aufwärts welcher sicheren Seite zu sein, lautet, niemals npm-Pakete mit einer Vorabversion zu installieren – außer, es lässt sich einwandfrei gewährleisten, dass dies Päckchen aus einer seriösen Quelle stammt. Ob die derzeit installierten npm-Pakete mit potenziell riskanten Vorabversionen installiert sind, können Entwicklungsteams selbst prüfen: Linux-User spendieren npm list -a | grep -E @[0-9]+.[0-9]+.[0-9]+- ein, und nebst Windows-Systemen lässt sich dies mit dem Kommando npm list -a | findstr -r @[0-9]*.[0-9]*.[0-9]*- feststellen.
Weitere Hinweise zum Trennen des Problems
Weitere Informationen zu welcher Feststellung und zum empfohlenen Vorgehen z. Hd. Betroffene lässt sich dem Blogeintrag des JFrog-Sicherheitsteams schließen aus. Die Sicherheitsforscher nach sich ziehen dort mit Screenshots dokumentiert, wie sie aufwärts dies Problem konzentriert wurden.
(sih)