Malware über NPM
-
Hat das irgendwelche Auswirkungen?
-
Es gibt ein gewisses Restrisiko.
Im heise Artikel ist auch folgender Artikel verlinkt, bei dem auch noch weitere betroffene Bibliotheken aufgeführt sind.https://socket.dev/blog/npm-is-package-hijacked-in-expanding-supply-chain-attack
Das Kapern der repositories und release von neuen verseuchten Versionen wurde nach relativ kurzer Zeit entdeckt. Die verseuchten Versionen wurden von npm auch wieder entfernt.
Dennoch gibt es ein Restrisiko, das wenn jemand genau in dem Zeitraum in dem die verseuchten Pakete noch da waren, aktualisiert hat, sich evtl etwas gefangen hat.
Die allermeisten betroffene Pakete sind allerdings reine Entwicklerwerkzeuge, welche beim Updates von normalen Usern gar nicht angezogen werden.
Bei einem Paket (https://www.npmjs.com/package/is) hat man festgestellt, das es hie und da auch im normalen Code verwendet wird (Redis und der Tuya Adapter. Evtl auch weitere Adapter (ich habe noch den n8n Adapter gefunden)Auf discord habe ich 2 Skripte gepostet, (Linux und Windows), mit dem man prüfen kann ob man da betroffen ist.
Da der Vorfall so ungefähr am Freitag war, weiß ich nicht, in wie weit durch 2 maliges updaten das mittlerweile noch feststellbar ist.Die Skripte liegen im dev Channel des discords/telegram.
Allerdings gab es kein Signal mehr wie man hier weiter verfahren will (Kommunikation über Forum, etc.)
Wie schon erwähnt, das Risiko ist nicht sehr groß, aber auch nicht komplett auszuschließen.
Das kleinste Risiko haben die User.
Alle Entwickler, die im besagten Zeitraum bspw einen dev-Server aufgesetzt oder aktualisiert haben, sollten das schon mal überprüfen.
