Navigation

    Logo
    • Register
    • Login
    • Search
    • Recent
    • Tags
    • Unread
    • Categories
    • Unreplied
    • Popular
    • GitHub
    • Docu
    • Hilfe
    1. Home
    2. Deutsch
    3. ioBroker Allgemein
    4. Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?

    NEWS

    • Monatsrückblick – September 2025

    • Neues Video "KI im Smart Home" - ioBroker plus n8n

    • Neues Video über Aliase, virtuelle Geräte und Kategorien

    Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?

    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      ticaki Developer last edited by ticaki

      Der Repochecker mault, wenn man eine Version pinnt. Aber könnte fast wetten das der ab heute nachmittag einem 20 Issue aufmacht wenn ein workflow mit dem Namen shai-hulud existiert. 😄

      Kann mich zwar irren, aber wenn der zeug mit dem namen shai-huluderstellt sollte man den string doch finden können. Wenn der als klartext im code steht - was ich nicht weiß.

      Homoran 1 Reply Last reply Reply Quote 0
      • OliverIO
        OliverIO @sigi234 last edited by

        @sigi234 sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

        @oliverio

        Hallo, wenn ich es unter Windows Power Shell ausführe wird es zwar geprüft, aber das Ergebiss wird nicht angezeigt, da das Fenster sofort weg geht.
        Was mache ich Falsch?

        Screenshot (1276).png

        Gib den Befehl auf der Konsole ein
        Und starte nicht über Explorer

        1 Reply Last reply Reply Quote 0
        • Homoran
          Homoran Global Moderator Administrators @ticaki last edited by

          @ticaki sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

          Wenn der als klartext im code steht

          der code läuft sogar tlw. rückwärts

          1 Reply Last reply Reply Quote 0
          • OliverIO
            OliverIO @mcm1957 last edited by

            @mcm1957
            Es scannt das Package-lock.json.
            Da stehen alle Pakete mit ihrer Version drin, die installiert wurden.

            Es prüft nicht, ob die schlechten pakete schon irgendwelche Schäden verursacht haben.

            mcm1957 1 Reply Last reply Reply Quote 0
            • mcm1957
              mcm1957 @OliverIO last edited by

              @oliverio said in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

              @mcm1957
              Es scannt das Package-lock.json.
              Da stehen alle Pakete mit ihrer Version drin, die installiert wurden.

              Das macht am usersystem / development system ja Sinn. Daher ist ein Scan im Repo eher irrelevant da das package-lock ja nicht via npm ausgeliefert und installiert wird.

              Es prüft nicht, ob die schlechten pakete schon irgendwelche Schäden verursacht haben.

              Das wär auch ein kleines bisserl mehr als ein einzelnes Script erledigen kann 🙂

              1 Reply Last reply Reply Quote 0
              • OliverIO
                OliverIO @Thomas Braun last edited by OliverIO

                @thomas-braun sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

                Mittlerweile ist die Zahl der infizierten Pakete auf fast 500 angewachsen. Sicherheitsunternehmen raten Entwicklern und Devops-Teams dringend, ihre Entwicklungsumgebungen zu überprüfen und Pakete an als gutartig bekannte Versionen zu "pinnen". Eine umfangreiche Liste mit 477 zwischenzeitlich betroffenen Paketen pflegt das Team von Socket.dev.

                Quelle: https://www.heise.de/news/Neuer-NPM-Grossangriff-Selbst-vermehrende-Malware-infiziert-Dutzende-Pakete-10651111.html

                Hier ein zum Stand aktualisierte Skripte
                https://github.com/oweitman/compromisedPackages

                Basis war die Liste von
                https://socket.dev/blog/ongoing-supply-chain-attack-targets-crowdstrike-npm-packages

                das problem mit den Zeilenumbrüchen im shell script dürfte behoben sein.

                Im readme steht wie man die skripte ausführen kann ohne installation

                die powershellversion dauert ein wenig. ich versuche das bei gelegenheit zu optimieren

                Homoran dr rocktor2 2 Replies Last reply Reply Quote 2
                • Homoran
                  Homoran Global Moderator Administrators @OliverIO last edited by Homoran

                  @oliverio sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

                  Im readme steht wie man die skripte ausführen kann ohne installation

                  👍

                  und wo?
                  /opt/iobroker/ ?

                  EDIT:
                  Screenshot_20250917-140035_JuiceSSH.jpg

                  DANKE!!

                  OliverIO 1 Reply Last reply Reply Quote 0
                  • OliverIO
                    OliverIO @Homoran last edited by

                    @homoran sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

                    @feuersturm sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

                    @mcm1957 gibt es die Möglichkeit die Prüfung von @OliverIO in den Adapter Checker zu integrieren und das Core Team / den Entwickler entsprechend zu benachrichtigen?

                    Fas wäre ein Anfang!

                    Aber was nutzt es?
                    mit zu viel Halbwissen un Paranoia ausgestattet:

                    • Das Skript müsste um die jetzt vermuteten 120 ypakete aufgebohrt werden.
                    • Bis diese bekannt sind, sind sie wahrscheinlich entwurmt.
                    • was vorher heruntergeladen wurde hat sein Werk vollbracht und befindet sich dank selst replizierten Kopien irgendwo im Netz

                    Wenn man also eine positivmeldung bekommt ist bereits das gesamte Netz kompromittiwrt.

                    ...und jetzt: beruhigt mich bitte!!

                    Leider keine beruhigende Nachricht. Aber
                    A) du weißt es nicht zeitnah, dann arbeiten die Skripte uU unentdeckt weiter.
                    B) du weißt es und kannst Maßnahmen ergreifen

                    Aktuell suchen diese Skripte nur nach weiteren Zugangsdaten/Token um noch mehr repositories übernehmen zu können.
                    Morgen wirst du Teil eines Bot-Netzes und übermorgen wird dein Netzwerk übernommen, nach passwörtern und bankzugängen, etc gesucht.

                    Für javascript (Bei anderen Umgebungen wahrscheinlich ähnlich) alles was herunterladbar ist, kann auch ausgeführt werden. gut bei einigen dingen fehlen Berechtigungen, aber im eigenen LAN von innen heraus verzichtet man oft auf solche Sicherungen.

                    Homoran 1 Reply Last reply Reply Quote 1
                    • OliverIO
                      OliverIO @Homoran last edited by

                      @homoran danke für den hinweis

                      weiß jemand wo sich das windows verzeichnis befindet?

                      mcm1957 sigi234 2 Replies Last reply Reply Quote 0
                      • Homoran
                        Homoran Global Moderator Administrators @OliverIO last edited by Homoran

                        @oliverio Danke!
                        Bestätigt ja im Prinzip mein Szenario.

                        Worst case ist dabei ein übernommener Sat-Receiver/Smart-TV oder ähnliches unauffällig im Hintergrund werkelndes, der dann als man in the middle alles scannt und umleitet

                        OliverIO 1 Reply Last reply Reply Quote 0
                        • mcm1957
                          mcm1957 @OliverIO last edited by mcm1957

                          @oliverio said in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

                          @homoran danke für den hinweis

                          weiß jemand wo sich das windows verzeichnis befindet?

                          Bei mir c:\iobroker

                          Ist m.W. nach default

                          mcm1957 1 Reply Last reply Reply Quote 0
                          • mcm1957
                            mcm1957 @mcm1957 last edited by

                            Problematisch könnten noch global installierte npm pacakges sein - bzw. deren dependencies. Die liegen ja nicht unter iobroker. Und das könnte v.a. bei dev packages (dev-server?) zuschlagen...

                            1 Reply Last reply Reply Quote 0
                            • sigi234
                              sigi234 Forum Testing Most Active @OliverIO last edited by

                              @oliverio sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

                              weiß jemand wo sich das windows verzeichnis befindet?

                              Das ist verschieden , wie es der Benutzer mit dem Installer angegeben hat.

                              Standart ist c:\iobroker

                              Screenshot (1281).png

                              1 Reply Last reply Reply Quote 0
                              • OliverIO
                                OliverIO @Homoran last edited by

                                @homoran
                                ja leider
                                oder jedes einzelne iot gerät im netz. die waren ja in der vergangenheit öfters angriffsziel wegen schlecht programmierter firmware.

                                • wenn jetzt der angriff von innen kommt,
                                • scan der infrastruktur
                                • mit KI die passenden Angriffsvektoren je Gerät ermitteln
                                • Code-Teile automatisch runterladen und ausführen.

                                ...ich höre jetzt auf.

                                Aber auf sowas muss man sich einstellen.
                                NPM hat auch keine vorausschauendes Sicherheitskonzept, alles läuft erst danach.

                                mcm1957 1 Reply Last reply Reply Quote 1
                                • mcm1957
                                  mcm1957 @OliverIO last edited by

                                  Na ja

                                  Unter windows sollte es eigentlich möglich sein, dass die diversen Virenscanner die bösen Pakete erkennen. Da ein typisches npm Paket auch keinen binären Code enthält wären auch verschlüsselte und selbstmodifizierende Pakete wohl höchst suspekt.

                                  Ich würd eigentlich erwarten, dass die bezahlten und auch die freien Virenscanner da sehr zeitnahe anschlagen. Keine Ahnung ob dem so ist.

                                  OliverIO 1 Reply Last reply Reply Quote 0
                                  • OliverIO
                                    OliverIO @mcm1957 last edited by OliverIO

                                    @mcm1957

                                    ist zwar nur ne KI Antwort auf die schnelle, aber die Antwort bewegt sich in dem Bereich was ich erwartet habe.

                                    d.h. wenn die hashes und muster der Dateien dann im scanner angekommen sind, können die diese Dateien auch erkennen.
                                    zumindest unter windows

                                    Vom Verhalten her machen diese Skripte eigentlich nix anderes wie die Adapter auch: meistens requests ausführen.

                                    @ alle
                                    Welchen Virenscanner habt ihr so unter Linux installiert?
                                    Zumindest scheint npm audit sowas ähnliches zu machen.


                                    Gute Frage 👍 – ich breche es mal in zwei Perspektiven runter:

                                    1. Was Kaspersky typischerweise macht

                                    • Echtzeitschutz / On-Access-Scanner: prüft Dateien, die auf die Platte geschrieben oder aus dem Netzwerk geladen werden (auch node_modules beim npm install).
                                    • Signatur- und Heuristik-Scan: schaut nach bekannten Malware-Mustern, verdächtigen Strukturen (z. B. „Dropper“ in JavaScript-Dateien) oder ob sich ein Prozess ungewöhnlich verhält.
                                    • Verhaltensanalyse (System Watcher): erkennt, wenn ein Script plötzlich Daten exfiltriert, sich in Autostart einträgt, Kryptominer startet o. ä.

                                    2. Was Kaspersky nicht speziell macht

                                    • Es gibt keine dedizierte „npm-Paketprüfung“.
                                    • Kaspersky weiß also nicht, ob du gerade eslint-config-prettier Version X oder left-pad Version Y installiert hast.
                                    • Stattdessen prüft es die resultierenden Dateien (z. B. .js im node_modules-Ordner) so wie jede andere Datei.

                                    3. Abgrenzung zu spezialisierten Tools

                                    • npm audit, yarn audit oder Services wie Snyk sind dafür gedacht, verwundbare oder kompromittierte Versionen von npm-Paketen anhand von Datenbanken zu erkennen.
                                    • AV-Software wie Kaspersky erkennt dagegen eher bekannte Malware-Signaturen oder auffälliges Verhalten – nicht unbedingt, dass ein Paket z. B. durch eine Supply-Chain-Attacke kompromittiert wurde, solange der Code nicht bereits als „bösartig“ bekannt ist.

                                    👉 Fazit:
                                    Kaspersky durchsucht zwar auch die Dateien in node_modules, aber nicht mit dem Fokus „npm package security“. Für den gezielten Check auf kompromittierte Pakete brauchst du Security-Scanner aus dem Node-Ökosystem.

                                    Homoran 1 Reply Last reply Reply Quote 0
                                    • OliverIO
                                      OliverIO last edited by

                                      Ohne Garantie, aber das skript könnte überflüssig sein,
                                      da npm audit genau das macht, sofern die pakete bei npm in der security datenbank eingetragen ist. Ich gehe davon aus, das es so ist

                                      Irgendwie finde ich aber nirgends einen Hinweis darauf, das dieser Befehl das erkennen kann bzw das man das als Sicherheitsmaßnahme ergreifen kann.

                                      A 1 Reply Last reply Reply Quote 0
                                      • A
                                        albert @OliverIO last edited by

                                        Generell gefragt, sollte man momentan Updates machen? Würde bei einem Adapter Update die Gefahr bestehen sich ein verseuchtes Packet zu installieren?

                                        OliverIO 1 Reply Last reply Reply Quote 0
                                        • OliverIO
                                          OliverIO @albert last edited by OliverIO

                                          @albert

                                          du kannst meiner Meinung nach schon updates machen.

                                          wichtiger ist systeme aktuell zu halten, da auch in veraltenden paketen/systeme schwachstellen entdeckt werden können.

                                          super dramatisch ist es nun nicht, aber eine rest gefahr besteht.

                                          PS an Alle:
                                          Ein wichtiger Effekt der uns wahrscheinlich alle zu einem gewissen Anteil betrifft der die aktuelle Situation in der Welt oder auch lokal beobachtet.

                                          Wenn man genug Nachrichten dramatischer Natur liest, denkt man, alles ist ganz übel, obwohl es eigentlich nicht ganz so ist.
                                          Nennt sich Mean world syndrom

                                          A 1 Reply Last reply Reply Quote 1
                                          • M
                                            msauer last edited by msauer

                                            NPM Audit, ausgeführt in /opt/iobroker meldet mir

                                            83 vulnerabilities (17 low, 13 moderate, 46 high, 7 critical)
                                            To address issues that do not require attention, run:
                                            npm audit fix

                                            To address all issues possible (including breaking changes), run:
                                            npm audit fix --force

                                            Some issues need review, and may require choosing

                                            Für einige (ms <2.0.0, nedb *) scheint es (noch) keinen Fix zu geben.

                                            Ich meine irgendwo im Forum gelesen zu haben, das man keinen Fix machen soll.

                                            Armilar mcm1957 OliverIO 3 Replies Last reply Reply Quote 0
                                            • First post
                                              Last post

                                            Support us

                                            ioBroker
                                            Community Adapters
                                            Donate
                                            FAQ Cloud / IOT
                                            HowTo: Node.js-Update
                                            HowTo: Backup/Restore
                                            Downloads
                                            BLOG

                                            738
                                            Online

                                            32.2k
                                            Users

                                            80.9k
                                            Topics

                                            1.3m
                                            Posts

                                            16
                                            63
                                            3106
                                            Loading More Posts
                                            • Oldest to Newest
                                            • Newest to Oldest
                                            • Most Votes
                                            Reply
                                            • Reply as topic
                                            Log in to reply
                                            Community
                                            Impressum | Datenschutz-Bestimmungen | Nutzungsbedingungen
                                            The ioBroker Community 2014-2023
                                            logo