Navigation

    Logo
    • Register
    • Login
    • Search
    • Recent
    • Tags
    • Unread
    • Categories
    • Unreplied
    • Popular
    • GitHub
    • Docu
    • Hilfe
    1. Home
    2. Deutsch
    3. ioBroker Allgemein
    4. Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?

    NEWS

    • Monatsrückblick – September 2025

    • Neues Video "KI im Smart Home" - ioBroker plus n8n

    • Neues Video über Aliase, virtuelle Geräte und Kategorien

    Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?

    This topic has been deleted. Only users with topic management privileges can see it.
    • Thomas Braun
      Thomas Braun Most Active @SabineT last edited by Thomas Braun

      @sabinet sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

      @thomas-braun man kann auch mit dos2unix die Windows-Zeilenenden entfernen.

      Nee, wirklich? 🙂

      MartinP 1 Reply Last reply Reply Quote 0
      • MartinP
        MartinP @Thomas Braun last edited by

        @thomas-braun Wer ohne Schuld ist, werfe den ersten Stein ....

        1 Reply Last reply Reply Quote 0
        • Feuersturm
          Feuersturm last edited by

          Es geht weiter https://www.heise.de/news/Neuer-NPM-Grossangriff-Selbst-vermehrende-Malware-infiziert-Dutzende-Pakete-10651111.html
          Weitere npm Pakete sind infiziert.

          Homoran 1 Reply Last reply Reply Quote 0
          • Homoran
            Homoran Global Moderator Administrators @Feuersturm last edited by

            @feuersturm sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

            Weitere npm Pakete sind infiziert.

            ...und das noch als Wurm 😡

            wie soll man da noch sicher sein, wenn man was updated?

            sigi234 Feuersturm 2 Replies Last reply Reply Quote 0
            • sigi234
              sigi234 Forum Testing Most Active @Homoran last edited by

              @homoran sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

              @feuersturm sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

              Weitere npm Pakete sind infiziert.

              ...und das noch als Wurm 😡

              wie soll man da noch sicher sein, wenn man was updated?

              Ja, schön langsam werde ich nervös. 😞

              1 Reply Last reply Reply Quote 0
              • sigi234
                sigi234 Forum Testing Most Active @OliverIO last edited by sigi234

                @oliverio

                Hallo, wenn ich es unter Windows Power Shell ausführe wird es zwar geprüft, aber das Ergebiss wird nicht angezeigt, da das Fenster sofort weg geht.
                Was mache ich Falsch?

                Screenshot (1276).png

                OliverIO 1 Reply Last reply Reply Quote 0
                • Feuersturm
                  Feuersturm @Homoran last edited by

                  @mcm1957 gibt es die Möglichkeit die Prüfung von @OliverIO in den Adapter Checker zu integrieren und das Core Team / den Entwickler entsprechend zu benachrichtigen?

                  Homoran mcm1957 2 Replies Last reply Reply Quote 1
                  • Homoran
                    Homoran Global Moderator Administrators @Feuersturm last edited by

                    @feuersturm sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

                    @mcm1957 gibt es die Möglichkeit die Prüfung von @OliverIO in den Adapter Checker zu integrieren und das Core Team / den Entwickler entsprechend zu benachrichtigen?

                    Fas wäre ein Anfang!

                    Aber was nutzt es?
                    mit zu viel Halbwissen un Paranoia ausgestattet:

                    • Das Skript müsste um die jetzt vermuteten 120 ypakete aufgebohrt werden.
                    • Bis diese bekannt sind, sind sie wahrscheinlich entwurmt.
                    • was vorher heruntergeladen wurde hat sein Werk vollbracht und befindet sich dank selst replizierten Kopien irgendwo im Netz

                    Wenn man also eine positivmeldung bekommt ist bereits das gesamte Netz kompromittiwrt.

                    ...und jetzt: beruhigt mich bitte!!

                    OliverIO 1 Reply Last reply Reply Quote 0
                    • mcm1957
                      mcm1957 @Feuersturm last edited by

                      @feuersturm said in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

                      @mcm1957 gibt es die Möglichkeit die Prüfung von @OliverIO in den Adapter Checker zu integrieren und das Core Team / den Entwickler entsprechend zu benachrichtigen?

                      Wo gibts ein Script das ein Repository scannt?

                      OliverIO hat soweit ich weiß "nur" ein Script erstellt dass eine Installation / Arbeitsumgebung scanned. Das ist auch m.E. der sinnvolle Platz um zu scannen da man dort sieht was wirklich installiert ist. Aber auch die Userumgebung hat der Repochecker keinen Zugriff. Hier wär es einzig möglich den js-contoller um einen "Virenscanner" zu erweitern. Wär eine Idee die man durchdenken könnte. Obs den Aufwand Wert ist müsste Core Team überlegen.

                      @Apollon77

                      Thomas Braun OliverIO 2 Replies Last reply Reply Quote 1
                      • Thomas Braun
                        Thomas Braun Most Active @mcm1957 last edited by

                        Mittlerweile ist die Zahl der infizierten Pakete auf fast 500 angewachsen. Sicherheitsunternehmen raten Entwicklern und Devops-Teams dringend, ihre Entwicklungsumgebungen zu überprüfen und Pakete an als gutartig bekannte Versionen zu "pinnen". Eine umfangreiche Liste mit 477 zwischenzeitlich betroffenen Paketen pflegt das Team von Socket.dev.

                        Quelle: https://www.heise.de/news/Neuer-NPM-Grossangriff-Selbst-vermehrende-Malware-infiziert-Dutzende-Pakete-10651111.html

                        OliverIO 1 Reply Last reply Reply Quote 1
                        • T
                          ticaki Developer last edited by ticaki

                          Der Repochecker mault, wenn man eine Version pinnt. Aber könnte fast wetten das der ab heute nachmittag einem 20 Issue aufmacht wenn ein workflow mit dem Namen shai-hulud existiert. 😄

                          Kann mich zwar irren, aber wenn der zeug mit dem namen shai-huluderstellt sollte man den string doch finden können. Wenn der als klartext im code steht - was ich nicht weiß.

                          Homoran 1 Reply Last reply Reply Quote 0
                          • OliverIO
                            OliverIO @sigi234 last edited by

                            @sigi234 sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

                            @oliverio

                            Hallo, wenn ich es unter Windows Power Shell ausführe wird es zwar geprüft, aber das Ergebiss wird nicht angezeigt, da das Fenster sofort weg geht.
                            Was mache ich Falsch?

                            Screenshot (1276).png

                            Gib den Befehl auf der Konsole ein
                            Und starte nicht über Explorer

                            1 Reply Last reply Reply Quote 0
                            • Homoran
                              Homoran Global Moderator Administrators @ticaki last edited by

                              @ticaki sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

                              Wenn der als klartext im code steht

                              der code läuft sogar tlw. rückwärts

                              1 Reply Last reply Reply Quote 0
                              • OliverIO
                                OliverIO @mcm1957 last edited by

                                @mcm1957
                                Es scannt das Package-lock.json.
                                Da stehen alle Pakete mit ihrer Version drin, die installiert wurden.

                                Es prüft nicht, ob die schlechten pakete schon irgendwelche Schäden verursacht haben.

                                mcm1957 1 Reply Last reply Reply Quote 0
                                • mcm1957
                                  mcm1957 @OliverIO last edited by

                                  @oliverio said in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

                                  @mcm1957
                                  Es scannt das Package-lock.json.
                                  Da stehen alle Pakete mit ihrer Version drin, die installiert wurden.

                                  Das macht am usersystem / development system ja Sinn. Daher ist ein Scan im Repo eher irrelevant da das package-lock ja nicht via npm ausgeliefert und installiert wird.

                                  Es prüft nicht, ob die schlechten pakete schon irgendwelche Schäden verursacht haben.

                                  Das wär auch ein kleines bisserl mehr als ein einzelnes Script erledigen kann 🙂

                                  1 Reply Last reply Reply Quote 0
                                  • OliverIO
                                    OliverIO @Thomas Braun last edited by OliverIO

                                    @thomas-braun sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

                                    Mittlerweile ist die Zahl der infizierten Pakete auf fast 500 angewachsen. Sicherheitsunternehmen raten Entwicklern und Devops-Teams dringend, ihre Entwicklungsumgebungen zu überprüfen und Pakete an als gutartig bekannte Versionen zu "pinnen". Eine umfangreiche Liste mit 477 zwischenzeitlich betroffenen Paketen pflegt das Team von Socket.dev.

                                    Quelle: https://www.heise.de/news/Neuer-NPM-Grossangriff-Selbst-vermehrende-Malware-infiziert-Dutzende-Pakete-10651111.html

                                    Hier ein zum Stand aktualisierte Skripte
                                    https://github.com/oweitman/compromisedPackages

                                    Basis war die Liste von
                                    https://socket.dev/blog/ongoing-supply-chain-attack-targets-crowdstrike-npm-packages

                                    das problem mit den Zeilenumbrüchen im shell script dürfte behoben sein.

                                    Im readme steht wie man die skripte ausführen kann ohne installation

                                    die powershellversion dauert ein wenig. ich versuche das bei gelegenheit zu optimieren

                                    Homoran dr rocktor2 2 Replies Last reply Reply Quote 2
                                    • Homoran
                                      Homoran Global Moderator Administrators @OliverIO last edited by Homoran

                                      @oliverio sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

                                      Im readme steht wie man die skripte ausführen kann ohne installation

                                      👍

                                      und wo?
                                      /opt/iobroker/ ?

                                      EDIT:
                                      Screenshot_20250917-140035_JuiceSSH.jpg

                                      DANKE!!

                                      OliverIO 1 Reply Last reply Reply Quote 0
                                      • OliverIO
                                        OliverIO @Homoran last edited by

                                        @homoran sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

                                        @feuersturm sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

                                        @mcm1957 gibt es die Möglichkeit die Prüfung von @OliverIO in den Adapter Checker zu integrieren und das Core Team / den Entwickler entsprechend zu benachrichtigen?

                                        Fas wäre ein Anfang!

                                        Aber was nutzt es?
                                        mit zu viel Halbwissen un Paranoia ausgestattet:

                                        • Das Skript müsste um die jetzt vermuteten 120 ypakete aufgebohrt werden.
                                        • Bis diese bekannt sind, sind sie wahrscheinlich entwurmt.
                                        • was vorher heruntergeladen wurde hat sein Werk vollbracht und befindet sich dank selst replizierten Kopien irgendwo im Netz

                                        Wenn man also eine positivmeldung bekommt ist bereits das gesamte Netz kompromittiwrt.

                                        ...und jetzt: beruhigt mich bitte!!

                                        Leider keine beruhigende Nachricht. Aber
                                        A) du weißt es nicht zeitnah, dann arbeiten die Skripte uU unentdeckt weiter.
                                        B) du weißt es und kannst Maßnahmen ergreifen

                                        Aktuell suchen diese Skripte nur nach weiteren Zugangsdaten/Token um noch mehr repositories übernehmen zu können.
                                        Morgen wirst du Teil eines Bot-Netzes und übermorgen wird dein Netzwerk übernommen, nach passwörtern und bankzugängen, etc gesucht.

                                        Für javascript (Bei anderen Umgebungen wahrscheinlich ähnlich) alles was herunterladbar ist, kann auch ausgeführt werden. gut bei einigen dingen fehlen Berechtigungen, aber im eigenen LAN von innen heraus verzichtet man oft auf solche Sicherungen.

                                        Homoran 1 Reply Last reply Reply Quote 1
                                        • OliverIO
                                          OliverIO @Homoran last edited by

                                          @homoran danke für den hinweis

                                          weiß jemand wo sich das windows verzeichnis befindet?

                                          mcm1957 sigi234 2 Replies Last reply Reply Quote 0
                                          • Homoran
                                            Homoran Global Moderator Administrators @OliverIO last edited by Homoran

                                            @oliverio Danke!
                                            Bestätigt ja im Prinzip mein Szenario.

                                            Worst case ist dabei ein übernommener Sat-Receiver/Smart-TV oder ähnliches unauffällig im Hintergrund werkelndes, der dann als man in the middle alles scannt und umleitet

                                            OliverIO 1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post

                                            Support us

                                            ioBroker
                                            Community Adapters
                                            Donate
                                            FAQ Cloud / IOT
                                            HowTo: Node.js-Update
                                            HowTo: Backup/Restore
                                            Downloads
                                            BLOG

                                            946
                                            Online

                                            32.2k
                                            Users

                                            80.9k
                                            Topics

                                            1.3m
                                            Posts

                                            16
                                            63
                                            3091
                                            Loading More Posts
                                            • Oldest to Newest
                                            • Newest to Oldest
                                            • Most Votes
                                            Reply
                                            • Reply as topic
                                            Log in to reply
                                            Community
                                            Impressum | Datenschutz-Bestimmungen | Nutzungsbedingungen
                                            The ioBroker Community 2014-2023
                                            logo