SecBoard
Zurück zur Übersicht

npm 12 Disables Install Scripts by Default to Reduce Supply Chain Risk

The Hacker News·
Originalartikel lesen bei The Hacker News

npm 12 deaktiviert standardmäßig Installationsskripte, um Lieferkettenrisiken zu mindern. Dies betrifft alle Nutzer, da automatische Skriptausführungen nun eine explizite Zustimmung erfordern. Es wird empfohlen, die neuen Sicherheitseinstellungen zu beachten und Skripte nur bei Vertrauenswürdigkeit manuell zu aktivieren.

Kurzfassung

npm 12 deaktiviert standardmäßig Installationsskripte, um Lieferkettenrisiken zu mindern. Diese Änderung betrifft alle npm-Nutzer, da die automatische Skriptausführung nun eine explizite Zustimmung erfordert. Es wird empfohlen, die neuen Sicherheitseinstellungen zu beachten und Skripte nur bei Vertrauenswürdigkeit manuell zu aktivieren.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Alle npm-Nutzer, insbesondere solche, die auf Installationsskripte angewiesen sind. Die im Artikel genannte Branche ist 'Behörden'.

Warum relevant

Diese Änderung reduziert das Risiko von Supply-Chain-Angriffen, bei denen bösartige Skripte während der Paketinstallation ausgeführt werden könnten. Organisationen müssen ihre Workflows anpassen, um sicherzustellen, dass legitime Skripte weiterhin funktionieren, während gleichzeitig die Sicherheit erhöht wird.

Realistisches Worst Case

Ohne Anpassung könnten legitime Installationsskripte nicht ausgeführt werden, was zu Fehlern oder Funktionsstörungen in Entwicklungsumgebungen oder CI/CD-Pipelines führt. Das Risiko von Supply-Chain-Angriffen durch bösartige Installationsskripte wird jedoch standardmäßig reduziert.

Handlungsempfehlung

Überprüfen Sie alle npm-Installationsprozesse und -Skripte, um sicherzustellen, dass sie mit der neuen Standardeinstellung von npm 12 kompatibel sind. Aktivieren Sie Installationsskripte nur explizit für vertrauenswürdige Pakete und Quellen.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie die npm-Versionen in Ihren Entwicklungsumgebungen und CI/CD-Pipelines, um festzustellen, ob npm 12 oder höher verwendet wird.
  • Testen Sie die Installation kritischer npm-Pakete in einer Umgebung mit npm 12, um sicherzustellen, dass alle erforderlichen Skripte korrekt ausgeführt werden oder explizit aktiviert wurden.
  • Auditieren Sie Ihre `package.json`-Dateien auf `preinstall`, `postinstall` oder andere Skripte, die von dieser Änderung betroffen sein könnten, und bewerten Sie deren Notwendigkeit und Vertrauenswürdigkeit.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
ExecutionT1203 Exploitation for Client ExecutionLownpm 12 deaktiviert standardmäßig Installationsskripte, um Lieferkettenrisiken zu mindern.
Defense EvasionT1562 Impair DefensesLownpm 12 deaktiviert standardmäßig Installationsskripte, um Lieferkettenrisiken zu mindern.
Offene Punkte
  • Es wird nicht spezifiziert, welche spezifischen Arten von Supply-Chain-Angriffen durch diese Änderung primär verhindert werden sollen.
  • Es werden keine konkreten Beispiele für bösartige Skripte oder Angriffe genannt, die in der Vergangenheit über Installationsskripte ausgeführt wurden.
  • Es werden keine spezifischen Tools oder Konfigurationsschritte genannt, die zur expliziten Aktivierung von Skripten erforderlich sind.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Unklar
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Sind wir hiervon betroffen — und können wir es detektieren?