image

ESLint-beheerder gehackt via hergebruikt wachtwoord

vrijdag 13 juli 2018, 14:04 door Redactie, 0 reacties

De aanvaller die gisteren besmette versies van de ESLint-software in de npm registry plaatste kon dit doen omdat een ESLint-beheerder zijn wachtwoord hergebruikte. ESLint is een tool voor het vinden van patronen in JavaScript-code, met als doel om code consistenter te maken en bugs te voorkomen.

Het wordt aangeboden via het npm registry. Npm is de package manager voor de JavaScript-programmeertaal en naar eigen zeggen het grootste softwarearchief ter wereld. Gisteren verschenen twee kwaadaardige Eslint-packages in het npm registry. De packages downloadde code van pastebin.com die de tokens van de gebruiker probeerde te stelen om software in het npm registry te publiceren. Aangezien ESLint vooral door ontwikkelaars wordt gebruikt had de aanvaller met deze tokens ook andere software kunnen aanpassen.

De aanvaller wist het npm-account van de ESLint-beheerder via een hergebruikt wachtwoord over te nemen en kon zo de besmette software publiceren. Volgens het ESLint-team had de beheerder zijn npm-wachtwoord voor meerdere websites gebruikt en geen tweefactorauthenticatie voor het npm-account ingeschakeld. Na ontdekking van de aanval heeft npm de besmette software verwijderd en zijn alle gestolen tokens onbruikbaar gemaakt.

Het ESLint-team heeft een postmortem van de aanval online gezet, waarin het ook verschillende aanbevelingen doet, waaronder het niet hergebruiken van wachtwoorden. Het is niet de eerste keer dat aanvallers via een hergebruikt wachtwoord toeslaan. Vorig jaar wist een aanvaller de dns van Coinhive via een hergebruikt wachtwoord aan te passen en kreeg een aanvaller in 2015 via een hergebruikt wachtwoord toegang tot de Bugzilla-database van Mozilla. In 2013 werd MongoHQ nog via een hergebruikt wachtwoord gehackt.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.