UPDATE 31.10.: Amazon Alexa - ioBroker Skill läuft aus ?

Thomas Braun

@oliverio

Die compromised.sh hat Windows-Zeilenenden.
Mit

wget -O /opt/iobroker/compromised.sh https://forum.iobroker.net/assets/uploads/files/1757421973911-compromised.sh
chmod ug+x /opt/iobroker/compromised.sh 
cd /opt/iobroker/
dos2unix compromised.sh 
./compromised.sh 

läuft es dann.

bilberry

:+1: Danke @OliverIO für das Skript und Danke @thomas-braun für den Hinweis für die nötige Konvertierung, um CR zu entfernen.

Auf meinen Installationen wurden damit keinen kompromittierten Pakete gefunden.

JackDaniel

danke für den hinweis und die anleitung

jackdaniel@NUC:/opt/iobroker$ ./compromised.sh
🔍 Durchsuche Lockfiles in /opt/iobroker nach kompromittierten NPM-Paketen...
✅ Keine kompromittierten Pakete in Lockfiles gefunden.
jackdaniel@NUC:/opt/iobroker$

SabineT

@thomas-braun man kann auch mit dos2unix die Windows-Zeilenenden entfernen.

MartinP

@sabinet hmm. ... hast Du den Beispielcode von Thomas gelesen?

Thomas Braun

@sabinet sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

@thomas-braun man kann auch mit dos2unix die Windows-Zeilenenden entfernen.

Nee, wirklich? :-)

MartinP

@thomas-braun Wer ohne Schuld ist, werfe den ersten Stein ....

Feuersturm

Es geht weiter https://www.heise.de/news/Neuer-NPM-Grossangriff-Selbst-vermehrende-Malware-infiziert-Dutzende-Pakete-10651111.html
Weitere npm Pakete sind infiziert.

Homoran

@feuersturm sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

Weitere npm Pakete sind infiziert.

...und das noch als Wurm :rage:

wie soll man da noch sicher sein, wenn man was updated?

sigi234

@homoran sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

@feuersturm sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

Weitere npm Pakete sind infiziert.

...und das noch als Wurm :rage:

wie soll man da noch sicher sein, wenn man was updated?

Ja, schön langsam werde ich nervös. :disappointed:

sigi234

@oliverio

Hallo, wenn ich es unter Windows Power Shell ausführe wird es zwar geprüft, aber das Ergebiss wird nicht angezeigt, da das Fenster sofort weg geht.
Was mache ich Falsch?

Feuersturm

@mcm1957 gibt es die Möglichkeit die Prüfung von @OliverIO in den Adapter Checker zu integrieren und das Core Team / den Entwickler entsprechend zu benachrichtigen?

Homoran

@feuersturm sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

@mcm1957 gibt es die Möglichkeit die Prüfung von @OliverIO in den Adapter Checker zu integrieren und das Core Team / den Entwickler entsprechend zu benachrichtigen?

Fas wäre ein Anfang!

Aber was nutzt es?
mit zu viel Halbwissen un Paranoia ausgestattet:

• Das Skript müsste um die jetzt vermuteten 120 ypakete aufgebohrt werden.
• Bis diese bekannt sind, sind sie wahrscheinlich entwurmt.
• was vorher heruntergeladen wurde hat sein Werk vollbracht und befindet sich dank selst replizierten Kopien irgendwo im Netz

Wenn man also eine positivmeldung bekommt ist bereits das gesamte Netz kompromittiwrt.

...und jetzt: beruhigt mich bitte!!

mcm1957

@feuersturm said in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

@mcm1957 gibt es die Möglichkeit die Prüfung von @OliverIO in den Adapter Checker zu integrieren und das Core Team / den Entwickler entsprechend zu benachrichtigen?

Wo gibts ein Script das ein Repository scannt?

OliverIO hat soweit ich weiß "nur" ein Script erstellt dass eine Installation / Arbeitsumgebung scanned. Das ist auch m.E. der sinnvolle Platz um zu scannen da man dort sieht was wirklich installiert ist. Aber auch die Userumgebung hat der Repochecker keinen Zugriff. Hier wär es einzig möglich den js-contoller um einen "Virenscanner" zu erweitern. Wär eine Idee die man durchdenken könnte. Obs den Aufwand Wert ist müsste Core Team überlegen.

@Apollon77

Thomas Braun

Mittlerweile ist die Zahl der infizierten Pakete auf fast 500 angewachsen. Sicherheitsunternehmen raten Entwicklern und Devops-Teams dringend, ihre Entwicklungsumgebungen zu überprüfen und Pakete an als gutartig bekannte Versionen zu "pinnen". Eine umfangreiche Liste mit 477 zwischenzeitlich betroffenen Paketen pflegt das Team von Socket.dev.

Quelle: https://www.heise.de/news/Neuer-NPM-Grossangriff-Selbst-vermehrende-Malware-infiziert-Dutzende-Pakete-10651111.html

ticaki

Der Repochecker mault, wenn man eine Version pinnt. Aber könnte fast wetten das der ab heute nachmittag einem 20 Issue aufmacht wenn ein workflow mit dem Namen shai-hulud existiert. :D

Kann mich zwar irren, aber wenn der zeug mit dem namen shai-huluderstellt sollte man den string doch finden können. Wenn der als klartext im code steht - was ich nicht weiß.

OliverIO

@sigi234 sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

@oliverio

Hallo, wenn ich es unter Windows Power Shell ausführe wird es zwar geprüft, aber das Ergebiss wird nicht angezeigt, da das Fenster sofort weg geht.
Was mache ich Falsch?

Gib den Befehl auf der Konsole ein
Und starte nicht über Explorer

Homoran

@ticaki sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

Wenn der als klartext im code steht

der code läuft sogar tlw. rückwärts

OliverIO

@mcm1957
Es scannt das Package-lock.json.
Da stehen alle Pakete mit ihrer Version drin, die installiert wurden.

Es prüft nicht, ob die schlechten pakete schon irgendwelche Schäden verursacht haben.

mcm1957

@oliverio said in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

@mcm1957
Es scannt das Package-lock.json.
Da stehen alle Pakete mit ihrer Version drin, die installiert wurden.

Das macht am usersystem / development system ja Sinn. Daher ist ein Scan im Repo eher irrelevant da das package-lock ja nicht via npm ausgeliefert und installiert wird.

Es prüft nicht, ob die schlechten pakete schon irgendwelche Schäden verursacht haben.

Das wär auch ein kleines bisserl mehr als ein einzelnes Script erledigen kann :-)