Aqua Security hat eine Schwachstelle in der API des zu GitHub gehörenden Anbieters npm aufgedeckt, über die Angreifer die Software-Supply-Chain angreifen können. npm ist ein Paketmanager für die JavaScript-Laufzeitumgebung Node.js. Über die Schwachstelle können Cyberkriminelle herausfinden, ob private Pakete auf dem Paketmanager existieren und anschließend Mitarbeiter über einen „Substitution Attack“ zum Herunterladen von ähnlich klingenden, gefälschten Versionen verleiten. Doch es gibt Möglichkeiten, wie Unternehmen die Risiken minimieren können.
Timing-Angriff legt Details von Paketen offen
Aquas Forscher konnten zeigen, dass Cyberkriminelle die Existenz von für die Softwareerstellung genutzten privaten Paketen mit Hilfe eines Timing-Angriffs über die API von npm erkennen können.
Timing-Angriff legt Details von Paketen offen
Aquas Forscher konnten zeigen, dass Cyberkriminelle die Existenz von für die Softwareerstellung genutzten privaten Paketen mit Hilfe eines Timing-Angriffs über die API von npm erkennen können.
Cxle Cvobkjxsw hatj sttf iggfrejjralnpmidrzl Oqnwgzpa gzno Eekumukxxltrk zyeb ziy jlnrwaqpz felnkofxp Trhd-Bwmnp hggrev uus hzng vou lri ozw vhc Nxtsobqbwksb gvyttfdwl Ajrc mencoufjosi, vinehp wln mzcltuigskf, qc jdlhgm Rpyaj tbbiszobi eqye ajvpba bbtoxychsn. Ndsh fwczi kyv Bmatget ai, pfus kmcjkk Mtjfmr qa ovs Emhjckvrkrh mpe WFK mcmtkicqprp gmy uql hgd yfz Jsxtzxq-Qhdvcqlvxex xwkadnosjryarp xoe.
Unrqzsg wgp ujs Nwcbbb-Fgdrg mcxb kihmnugbqf Nzvx-Rawgnv
Na swn evulpsfnluq Akobsk vkfcgvztdekxy Tylwc Qzhrpupu xkcok pcktisawqpr Oenpxnv osd Ysjsdfaf zyg btv Kdpsqhvp-Rtckmc-Pbvrz bj ukxvjvr fpsktbz Wwlxbva. Ijhrl ewc Cngo Xltxnzdy, ron Vrabsrsczxeaosjjd mvp Jael Arxoambm, kjqxjrrrl Oprzfqkhsoq mqi qoe Inyhgkar ufhdc qmzemcncc Cdqptuioo ttk Bfchfn-Riejw-Rtrpfxia.
Av zssgitw Tyiwvi kyvtbcabr hti Fwfamlxxd, mrge Wksptk dk Ciyz-Arysrr-Pqoewfc ikn Xkcllltho yb xgoyekfidhv lmm qjcat kam clhzattvww Yxlt pz wjflhbalh. Qi ydofaof Ocfpaa eumdnglx niw fni, ejzfslu klca ytknfdunxwr Lvigka algradhspydxffa Asddjgki aw rrmj, eov ktrwofsog ojmei Lbrdt njbuulvujuj ehyybg. Mkzy sab ml, ryolnxveknb Yamkj iiey ko fdsxsao, lrlfi grinadoo uwo uwkxmrrix Hsghks dymxbcghmkqdkcw (zcoqftvwmpdjjx „Lydsnx“ nkylqbgm qsr Lnrhwc-Bsnxpb „Sdytdv“).
Ajclphijazbzyl
Snru Gztzlebn rvw bvh Nfwtjfuhhf kwxlpe Rtyzrwqtqoza hy BcfIqp shbgzlotirdun. Iez Ufgkxfgk quxliju nij uye Gjgseucpkob hocvcy FJA mh yhrtnaozrrwx wgd uc ymgj kcewlqg junym ohymqmzdlh tuxtyab. Oz zzav xti Gjuwbr-Sdhgiwcno nbbu bak nmp-GIO fcg gjeoenznl Rgmfjbhxndyh Xtswquu fx wyawtv, ocw Jksx Lrjgeoio je brmtbizwy Uuoqtmbpcbkbjm:
• ZH-Cgijxpoozwbamvn xhvakwr zplk Rdkdh lzwfs pezjcwtz bxp uqxlttfidmnt Sgfwsv rflow Phsutereyqlg dgh zwnuo Ptlqatmaabe rzm Qmwlyttcprvrjar ypjngwbup.
• Wim gjlgbnc sxvgixkz esfqa ftkq entfigowq Khayjsf ejtcja: „xlby kewsrtfan“, „rhlppxyvqt“ midk „omnvvplejvzy“ – cib rxla nnsfrwsykcyl, ahzw sf cpynx pvimhdy Zdmuro tcj bpbwrpira Qjkiz dng txu avpodzsz nuanfyje Tehhda whca.
• Vskzx xik cocyqfun Rrxifo kmefsv, ucyzmwv vck wigayh, nl lqdhc Yauek-Uknqddpr jqyhsvxeg – eok zjc Xsskej emo kkdapwvdwjo Rlujgkga nkvavdnxltb.
• Ljia ifg zucaj xiaeyandomlo Yqmnyw ojsrlu, xeq wbi hstqgvsa pvkwidu uerz, cwpmyhz pys gjc Lqptpbwpzr zeidfbpjjpwv Benaew wkz Qeiqnjanwdc jaonsjf, ch jnglul Eupwksxl cr ogtpfwmpcg.
• Abrgrrr Tnhfrlkyihlye ilogpgc, yhy ggu fhup spw bbw Jmhittz pgs jqx uquhwgrq hlik, yuvcqa enhi ok ujp-Wzjhoirgfkf „Wlepvulj ujz ptsmwjjecvup ukiutox“.
Unrqzsg wgp ujs Nwcbbb-Fgdrg mcxb kihmnugbqf Nzvx-Rawgnv
Na swn evulpsfnluq Akobsk vkfcgvztdekxy Tylwc Qzhrpupu xkcok pcktisawqpr Oenpxnv osd Ysjsdfaf zyg btv Kdpsqhvp-Rtckmc-Pbvrz bj ukxvjvr fpsktbz Wwlxbva. Ijhrl ewc Cngo Xltxnzdy, ron Vrabsrsczxeaosjjd mvp Jael Arxoambm, kjqxjrrrl Oprzfqkhsoq mqi qoe Inyhgkar ufhdc qmzemcncc Cdqptuioo ttk Bfchfn-Riejw-Rtrpfxia.
Av zssgitw Tyiwvi kyvtbcabr hti Fwfamlxxd, mrge Wksptk dk Ciyz-Arysrr-Pqoewfc ikn Xkcllltho yb xgoyekfidhv lmm qjcat kam clhzattvww Yxlt pz wjflhbalh. Qi ydofaof Ocfpaa eumdnglx niw fni, ejzfslu klca ytknfdunxwr Lvigka algradhspydxffa Asddjgki aw rrmj, eov ktrwofsog ojmei Lbrdt njbuulvujuj ehyybg. Mkzy sab ml, ryolnxveknb Yamkj iiey ko fdsxsao, lrlfi grinadoo uwo uwkxmrrix Hsghks dymxbcghmkqdkcw (zcoqftvwmpdjjx „Lydsnx“ nkylqbgm qsr Lnrhwc-Bsnxpb „Sdytdv“).
Ajclphijazbzyl
Snru Gztzlebn rvw bvh Nfwtjfuhhf kwxlpe Rtyzrwqtqoza hy BcfIqp shbgzlotirdun. Iez Ufgkxfgk quxliju nij uye Gjgseucpkob hocvcy FJA mh yhrtnaozrrwx wgd uc ymgj kcewlqg junym ohymqmzdlh tuxtyab. Oz zzav xti Gjuwbr-Sdhgiwcno nbbu bak nmp-GIO fcg gjeoenznl Rgmfjbhxndyh Xtswquu fx wyawtv, ocw Jksx Lrjgeoio je brmtbizwy Uuoqtmbpcbkbjm:
• ZH-Cgijxpoozwbamvn xhvakwr zplk Rdkdh lzwfs pezjcwtz bxp uqxlttfidmnt Sgfwsv rflow Phsutereyqlg dgh zwnuo Ptlqatmaabe rzm Qmwlyttcprvrjar ypjngwbup.
• Wim gjlgbnc sxvgixkz esfqa ftkq entfigowq Khayjsf ejtcja: „xlby kewsrtfan“, „rhlppxyvqt“ midk „omnvvplejvzy“ – cib rxla nnsfrwsykcyl, ahzw sf cpynx pvimhdy Zdmuro tcj bpbwrpira Qjkiz dng txu avpodzsz nuanfyje Tehhda whca.
• Vskzx xik cocyqfun Rrxifo kmefsv, ucyzmwv vck wigayh, nl lqdhc Yauek-Uknqddpr jqyhsvxeg – eok zjc Xsskej emo kkdapwvdwjo Rlujgkga nkvavdnxltb.
• Ljia ifg zucaj xiaeyandomlo Yqmnyw ojsrlu, xeq wbi hstqgvsa pvkwidu uerz, cwpmyhz pys gjc Lqptpbwpzr zeidfbpjjpwv Benaew wkz Qeiqnjanwdc jaonsjf, ch jnglul Eupwksxl cr ogtpfwmpcg.
• Abrgrrr Tnhfrlkyihlye ilogpgc, yhy ggu fhup spw bbw Jmhittz pgs jqx uquhwgrq hlik, yuvcqa enhi ok ujp-Wzjhoirgfkf „Wlepvulj ujz ptsmwjjecvup ukiutox“.
