Unbekannte infiltrieren Paketmanager npm und verseuchen Tools mit Schadcode

    Hallo zusammen,


    ich bin gerade auf diese Nachricht gestoßen. Unbekannte infiltrieren Paketmanager npm und verseuchen Tools mit Schadcode


    Es ist die Sprache vom “von coa (Command Line Parser) und rc (Configuration Loader) ”. Mir sagen die Tools als einfacher Anwender nicht. Auch ob dadurch Handlungsbedarf besteht nicht. Kennt sich jemand damit etwas aus?


    Sollte man die Gelegenheit nutzen und npm jetzt aktualisieren?


    Gruß

  • Zum Hilfreichsten Beitrag springen

    Homebridge ist davon nicht betroffen.


    Welche Pakete installiert sind lässt sich mit npm list und nochmal global mit npm list -g herausfinden bzw. kann man auf die beiden Pakete mit npm ls coa bzw. npm ls -g coa und npm ls rc und npm ls -g rc hin prüfen. wenn (empty) erscheint, existiert das Paket nicht.


    Zitat von abitkt7a

    Sollte man die Gelegenheit nutzen und npm jetzt aktualisieren?

    Nein, NPM selber wurde nicht kompromittiert.

    Danke dafür 2
    • Hilfreich

    Der Befehl npm -g ls rc zeigt auf meinem Raspi an, dass rc verschiedentlich verwendet wird, beispielsweise in homebridge-config-ui-x. Bei mir ist das immer die Version 1.2.8 und diese ist nicht betroffen.

    Danke dafür 1

    Du hast recht, bei mir rc auch unter homebridge-config-ui-x vorhanden:

    Code
    pi@phoscon:~ $ npm -g ls rc
/usr/local/lib
└─┬ [email protected]
  └─┬ [email protected]
    └─┬ [email protected]
      └── [email protected]

    Meinem Verständnis nach betrifft die ganze Thematik aber in erster Linie Entwickler die diese beiden Pakete für ihre Projekte/Programme verwenden.

    Zitat von Patrick_

    Meinem Verständnis nach betrifft die ganze Thematik aber in erster Linie Entwickler die diese beiden Pakete für ihre Projekte/Programme verwenden.

    Es betrifft jeden, der die betroffenen Pakete auf seinem Rechner hat. Betroffen sind die rc-Versionen 1.2.9, 1.3.9 und 2.3.9.

    Ich bin da voll bei dir und hab mich vllt. missverständlich ausgedrückt. Die Frage ist, wie akut die Gefahr ist, zumal die Malware recht schnell erkannt wurde, nachdem z.B. das coa Paket seit 2018 kein Update mehr erfahren hat und nun aus heiterem Himmel es eine neue Version gibt.


    Das Paket "Homebridge-Config-ui-x" hat dependencies/Abhängigkeiten zu bestimmten anderen Paketen, die in der package.json vom Homebridge-Config-UI-X aufgeführt sind. Die dort aufgeführten dependencies können wiederum weitere Abhängigkeiten zu anderen Paketen haben. Sprich, homebridge-config-ui-x ist abhängig von node-pty-rebuilt-multiarch, dass ist wiederum abhängig von prebuild-install und das ist wiederum abhängig von rc.:

    Code
    /usr/local/lib
└─┬ [email protected]
  └─┬ [email protected]
    └─┬ [email protected]
      └── [email protected]

    Heißt, wir haben hier eine Kaskade/Verschachtelung von Abhängigkeiten. So wie ich npm update (https://docs.npmjs.com/cli/v7/commands/npm-update) verstehe, würde ein Update des prebuild-install Paketes die Version von rc auf die neuere mit der malware updaten. Das wäre vermutlich passiert, wenn es lang genug unentdeckt geblieben wäre.

    Ich bin aber leider kein Entwickler, daher weiß ich nicht wie "automatisiert" sich hier Abhängigkeiten von Paket zu Paket durch eine neue Version eines Pakets auf die anderen auswirkt und ob dass dann so in der kaskade durchgewunken wird bzw. einen Dominostein-Effekt auslöst.

    Puh! Dankeschön für Eure schnelle und super hilfreichen Antworten!


    Ich habe mit npm ls -g rc meine Installation ebenfalls geprüft und das rc Modul mehrmals gefunden. Im abadonware Bluethooth hci socket, config-ui und meine "geliebte" mi-flora-filtered". Aber in der Tat alles [email protected] die nicht betroffen ist.


    coa ist überhaupt nicht vorhanden,.


    Trotzdem sehr beruhigend und interessant.


    Vielen Dank nochmal für die schnelle Reaktion von Euch.

    Gruß