Malware über NPM
-
Hat das irgendwelche Auswirkungen?
-
Es gibt ein gewisses Restrisiko.
Im heise Artikel ist auch folgender Artikel verlinkt, bei dem auch noch weitere betroffene Bibliotheken aufgeführt sind.https://socket.dev/blog/npm-is-package-hijacked-in-expanding-supply-chain-attack
Das Kapern der repositories und release von neuen verseuchten Versionen wurde nach relativ kurzer Zeit entdeckt. Die verseuchten Versionen wurden von npm auch wieder entfernt.
Dennoch gibt es ein Restrisiko, das wenn jemand genau in dem Zeitraum in dem die verseuchten Pakete noch da waren, aktualisiert hat, sich evtl etwas gefangen hat.
Die allermeisten betroffene Pakete sind allerdings reine Entwicklerwerkzeuge, welche beim Updates von normalen Usern gar nicht angezogen werden.
Bei einem Paket (https://www.npmjs.com/package/is) hat man festgestellt, das es hie und da auch im normalen Code verwendet wird (Redis und der Tuya Adapter. Evtl auch weitere Adapter (ich habe noch den n8n Adapter gefunden)Auf discord habe ich 2 Skripte gepostet, (Linux und Windows), mit dem man prüfen kann ob man da betroffen ist.
Da der Vorfall so ungefähr am Freitag war, weiß ich nicht, in wie weit durch 2 maliges updaten das mittlerweile noch feststellbar ist.Die Skripte liegen im dev Channel des discords/telegram.
Allerdings gab es kein Signal mehr wie man hier weiter verfahren will (Kommunikation über Forum, etc.)
Wie schon erwähnt, das Risiko ist nicht sehr groß, aber auch nicht komplett auszuschließen.
Das kleinste Risiko haben die User.
Alle Entwickler, die im besagten Zeitraum bspw einen dev-Server aufgesetzt oder aktualisiert haben, sollten das schon mal überprüfen. -
für windoof im check_bad_npm.bat
für linux check_bad_npm.sh
-
@arteck sagte in Malware über NPM:
für linux check_bad_npm.sh
Das einfach per
wgetin meinen Proxmox LXC zu holen hat nicht funktioniert.
Stattdessen habe ich das auf meinem Windows-PC heruntergeladen, mit 'nem Editor geöffnet und dann im Container über nano und die Zwischenablage in eine Datei kopiert. -
mit ...
curl https://forum.iobroker.net/assets/uploads/files/1753939147858-check_bad_npm.sh --output check_bad_npm.sh... war ich erfolgreich:
artin@iobroker-test-sicher:~$ curl https://forum.iobroker.net/assets/uploads/files/1753939147858-check_bad_npm.sh --output check_bad_npm.sh % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 1635 100 1635 0 0 7187 0 --:--:-- --:--:-- --:--:-- 7202 martin@iobroker-test-sicher:~$ ls check_bad_npm.sh index.html jqÜbrigens - zur Sicherheit, nach dem Download ... nicht dass durch manipuliertes shell scripte Malware auf das eigene System kommt....
martin@iobroker-test-sicher:~$ md5sum check_bad_npm.sh b49b3468c067c0df2f2d311c9961e269 check_bad_npm.shEDIT:
martin@iobroker-test-sicher:~$ bash check_bad_npm.sh check_bad_npm.sh: line 3: $'\r': command not found ❌ Fehler: Verzeichnis /opt/iobroker existiert nicht oder Zugriff verweigert. : numeric argument requiredxit: 1 martin@iobroker-test-sicher:~$Auch mit vorangestelltem sudo kein Erfolg...
Das hat geholfen
martin@iobroker-test-sicher:~$ dos2unix check_bad_npm.sh dos2unix: converting file check_bad_npm.sh to Unix format... martin@iobroker-test-sicher:~$ bash check_bad_npm.sh 🔍 Durchsuche Lockfiles in /opt/iobroker nach kompromittierten NPM-Paketen... ✅ Keine kompromittierten Pakete in Lockfiles gefunden. martin@iobroker-test-sicher:~$Das dos2unix Paket muss man ggfs installieren...
sudo apt install dos2unixNoch etwas
martin@iobroker-test-sicher:~$ md5sum check_bad_npm.sh 3e80f083d01ca47a5efb276c87878462 check_bad_npm.sh -
Herunterladen als Einzeiler ...
curl --raw https://forum.iobroker.net/assets/uploads/files/1753939147858-check_bad_npm.sh | dos2unix >check_bad_npm.shMD5 bleibt bei
3e80f083d01ca47a5efb276c87878462
