
So können sich Nutzer jetzt vor „Substitution-Attacks“ schützen
Aqua Security hat eine Schwachstelle in der API des zu GitHub gehörenden Anbieters npm aufgedeckt, über die Angreifer die Software-Supply-Chain angreifen können. npm ist ein Paketmanager für die JavaScript-Laufzeitumgebung Node.js. Über die Schwachstelle können Cyberkriminelle herausfinden, ob private Pakete auf dem Paketmanager existieren und anschließend Mitarbeiter über einen „Substitution Attack“ zum Herunterladen von ähnlich klingenden, gefälschten Versionen verleiten. Doch es gibt Möglichkeiten, wie Unternehmen die Risiken minimieren können.
Timing-Angriff legt Details von Paketen offen
Aquas Forscher konnten zeigen, dass Cyberkriminelle die Existenz von für die Softwareerstellung genutzten privaten Paketen mit Hilfe eines Timing-Angriffs über die API von npm erkennen können. Wenn Angreifer etwa fünf aufeinanderfolgende Anfragen nach Informationen über ein eventuell genutztes Code-Paket senden und dann die von npm zur Beantwortung benötigte Zeit analysieren, können sie feststellen, ob dieses Paket existiert oder früher existierte. Dies lässt den Schluss zu, dass dieser Fehler in die Architektur der API eingebettet ist und auf den Caching-Mechanismus zurückzuführen ist.
Angriff auf die Supply-Chain über gefälschte Code-Pakete
In den vergangenen Jahren registrierten Aquas Forscher einen drastischen Anstieg der Angriffe auf die Software-Supply-Chain um mehrere hundert Prozent. Diese von Team Nautilus, der Forschungseinheit von Aqua Security, entdeckte Angriffsart ist ein Beispiel einer breiteren Kategorie von Supply-Chain-Attacken.
In einigen Fällen versuchen die Angreifer, sich Zugang zu Open-Source-Paketen und Projekten zu verschaffen und diese mit bösartigem Code zu vergiften. In anderen Fällen täuschen sie vor, private oder öffentliche Pakete beziehungsweise Projekte zu sein, und schreiben deren Namen absichtlich falsch. Ziel ist es, ahnungslose Opfer dazu zu bringen, diese anstelle der legitimen Pakete herunterzuladen (beispielsweise „Padnas“ anstelle des Python-Pakets „Pandas“).
Gegenmaßnahmen
Aqua Security hat die Ergebnisse seiner Untersuchung an GitHub weitergegeben. Dem Anbieter zufolge ist die Architektur dieser API so beabsichtigt und es sind derzeit keine Änderungen geplant. Um sich vor Timing-Angriffen über die npm-API und folgenden Substitution Attacks zu rüsten, rät Aqua Security zu folgenden Gegenmaßnahmen:
• IT-Verantwortliche sollten eine Liste aller privaten und öffentlichen Pakete ihres Unternehmens auf allen Plattformen zur Paketverwaltung erstellen.
• Sie sollten außerdem aktiv nach folgenden Paketen suchen: „typo squatting“, „lookalikes“ oder „masquerading“ – und sich vergewissern, dass es keine anderen Pakete mit demselben Namen wie die internen privaten Pakete gibt.
• Falls sie ähnliche Pakete finden, sollten sie prüfen, ob diese Schad-Software enthalten – und bei Bedarf die betroffenen Kollegen informieren.
• Wenn sie keine öffentlichen Pakete finden, die den internen ähnlich sind, sollten sie die Erstellung öffentlicher Pakete als Platzhalter erwägen, um solche Angriffe zu verhindern.
• Weitere Informationen darüber, wie man sich bei der Nutzung von npm schützen kann, finden sich im npm-Blogbeitrag „Avoiding npm substitution attacks“.
Fachartikel

Sind Daten Ihr schwächstes Glied?

Die aktuelle Bedrohungsentwicklung und warum XDR immer wichtiger wird

Wie die Analyse des Benutzer- und Entitätsverhaltens zur Cybersicherheit beiträgt

ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee

Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite
Studien

Studie Cloud-Strategien: Von kleinen Schäfchenwolken zum Cumulus

IDC-Studie: 82 Prozent der deutschen Unternehmen nutzen die Cloud – umfassende Automatisierung der Workloads ist aber noch Zukunftsmusik

Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum

2023 State of the Cloud Report

Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen
Whitepaper

5 Tipps für die SAP- und OT-Sicherheit: So haben Hacker keine Chance

Neuer Forrester-Report: Varonis als führender Anbieter von Datensicherheits-Plattformen ausgezeichnet

Arctic Wolf Labs Threat Report: Deutlicher Anstieg der erfolgreichen Fälle von Business-E-Mail-Compromise

Aufkommende Trends in der externen Cyberabwehr

Cyber-Sicherheit für das Management – Handbuch erhöht Sicherheitsniveau von Unternehmen
Unter4Ohren

Die aktuelle Bedrohungsentwicklung und warum XDR immer wichtiger wird

Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS

DDoS – der stille Killer

Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen
