Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?
-
so nachdem die KI hart gearbeitet hat (hatte ich schon erwähnt das ich powershell hasse?)
ist nun die paketliste in ein einheitliches format überführt worden.
powershell und bash skripte laden nun diese datei und scannen dann ein im gleichen Verzeichnis befindliches lockfile.https://github.com/oweitman/compromisedPackages
evtl auftretende fehler/probleme bitte hier oder im github melden.
-
Guten Morgen...
ist den npm mittlerweile wieder sicher was Updates angeht?
-
@oliverio
Nach dem ich die HW gewechselt und deshalb alles neu aufgesetzt hatte, war mir doch etwas unwohl und wenn ich Deinem Script vertrauen kann, dann fühle ich mich nun wieder sicherer. Vielen Dank für Deine Arbeit.jan@e2:~$ cd /opt/iobroker/ jan@e2:/opt/iobroker$ bash <(curl -fsSL https://raw.githubusercontent.com/oweitman/compromisedPackages/main/compromised.sh) ⬇️ Downloading compromised package list from: https://raw.githubusercontent.com/oweitman/compromisedPackages/main/compromised-packages.txt Info: 108 non-comment lines; 108 package(s) parsed. 🔍 Scanning lockfiles in /opt/iobroker (current directory only)... Info: 1 lockfile(s) found. - ./package-lock.json (555143 bytes) [Progress] 100% complete -
Die Leute von NPM reagieren Gott sei Dank relativ schnell. Bisher war es immer nur eine kurze Zeit bis die betroffenen Pakete entfernt worden sind.
Eigentlich sollte npm audit reichen.
Da kommen allerdings alle Security Probleme der Pakete raus, dass verunsichert die meisten noch mehr. -
@oliverio sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:
Eigentlich sollte npm audit reichen.
Da kommen allerdings alle Security Probleme der Pakete raus, dass verunsichert die meisten noch mehr.Ja, und das heisst was für die UNIX-unbeleckten User?
Was machen wir jetzt genau? Ich bin total unsicher...
Gruss Ralf -
Verwende zu deiner Beruhigung das oben genannte Script. Wenn da nichts gelistet wird kannst du sicher sein, dass keines der zum Zeitpunkt des letzten Script Updates bekannten schädlichen Pakete aus dem hier diskutierten Angriff installiert ist.
-
@mcm1957
Danke. Ich habe beide Scripte laufen lassen die mir GIT angezeigt hat:pi@iobroker-proxmox:~$ cd /opt/iobroker pi@iobroker-proxmox:/opt/iobroker$ bash <(curl -fsSL https://raw.githubusercontent.com/oweitman/compromisedPackages/main/compromised.sh) ⬇️ Downloading compromised package list from: https://raw.githubusercontent.com/oweitman/compromisedPackages/main/compromised-packages.txt Info: 108 non-comment lines; 108 package(s) parsed. 🔍 Scanning lockfiles in /opt/iobroker (current directory only)... Info: 1 lockfile(s) found. - ./package-lock.json (1576118 bytes) [Progress] 100% complete ✅ No compromised packages found in lockfiles. pi@iobroker-proxmox:/opt/iobroker$ bash <(wget -qO- https://raw.githubusercontent.com/oweitman/compromisedPackages/main/compromised.sh) ⬇️ Downloading compromised package list from: https://raw.githubusercontent.com/oweitman/compromisedPackages/main/compromised-packages.txt Info: 108 non-comment lines; 108 package(s) parsed. 🔍 Scanning lockfiles in /opt/iobroker (current directory only)... Info: 1 lockfile(s) found. - ./package-lock.json (1576118 bytes) [Progress] 100% complete ✅ No compromised packages found in lockfiles. pi@iobroker-proxmox:/opt/iobroker$Das beruhigt.
Das heisst ich kann jetzt wieder bedenkenlos updaten, richtig?Gruss Ralf
-
Was diesen Angriff betrifft würde ich sagen ja.
Aber welche Bösewichter heute oder morgen wieder ihr Unwesen trieben wird die niemand sagen können.100% sicher bist du nur ohne Internet, ohne Strom, ohne Funk - und das nur gegen Gefahren aus dem Internet....
Persönlich schlaf ich wegen Viren und Würmern schon lange nicht mehr schlecht. Im Gegenteil - vereinzelte Phisingmails amüsieren mich eher, z.b. letzens eine die explizit mitgeteilt hat dass mir im Falle eines Ansprechens des Virenscanners keine Gedanken machen soll, die Mail stammt gerantiert aus eine unseriösen Quelle
-
@mcm1957
Ich versuche auch bei Mails vorsichtig zu sein.
Bei NPM hatte ich aber Bedenken weil ich ja nicht steuern kann was das Tool genau macht. Aber verwenden muss ich es ja.
Zu Thema Scammer usw.:
Sehr genialer Youtube Kanal wenn es noch Keiner kennt: "Scammer Payback"
Das sind Hacker die absichtlich Betrüger aufdecken und blosstellen, bzw. auch deren Daten kapern und an die Behörden liefern. Sehr amüsant.
Gruss Ralf -
@derrapf sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:
Aber verwenden muss ich es ja.
Aber besser auch nicht direkt.
-
Das Problem ist aktuell dadurch entstanden, das Paket verantwortliche (maintainer) sich ihre Berechtigungen abluchsen lassen haben.
Mit diesen Berechtigungen haben Fremde dann verseuchte Pakete in npm eingeschleust. Beim nächsten updaten/installieren wurden dann diese Pakete installiert.Npm setzt aktuell Maßnahmen um, um den Prozess zum veröffentlichen neuer Pakete noch sicherer zu machen.
DS wird sicherlich auch demnächst alle Autoren der iobroker Adapter betreffen.
Aber egal was, ein Rest Risiko bleibt.
Daher bitte nicht nur auf Sicherheit des LANs vertrauen, auch im eigenen Netz die Sicherheit jedes einzelnen Gerätes betrachten, keine zu weitreichenden Berechtigungen keine passwortlosen Rechner. Es lässt sich meist immer so einrichten, das man nur einmal ein Passwort eingeben muss und danach nicht immer wieder erneut.
Ssh Verbindungen lieber mit public key als mit PasswortDas verhindert, das wenn ein Böses Programm im Netz aktiv ist, das es zumindest auf dem Rechner wo es läuft auch nur bleibt und nicht von dort aus noch andere Rechner verseuchen kann.
Im privat Bereich sind solche Maßnahmen sktuell noch drüber, aber mit KI lässt sich das auch immer mehr automatisieren und auch weniger interessante Umgebungen zum Angriffs lohnenswert machen. -
@derrapf sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:
eil ich ja nicht steuern kann was das Tool genau macht.
npm ist nicht das Problem!
wie @Oliverio schreibt ist das hier ein typischer Fall von sideload gewesen.
nicht das Paket an sich war böse, sondern böse Menschen haben malware in gute Pakete eingeschleust und mit einem Update deiner Pakete hättest du dir die Malware einfangen können.
Solche Fälle in denen Updateserver infiltriert werden, gibt/gab es auch hei anderer, professioneller Software.
Das ist in meinen Augen eine der perfidesten Angriffe, weil du denkst mit Updates was gutes zu tun (was es auch ist) und du da wirklich nichts machen kannst.
-
@oliverio sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:
Daher bitte nicht nur auf Sicherheit des LANs vertrauen, auch im eigenen Netz die Sicherheit jedes einzelnen Gerätes betrachten, keine zu weitreichenden Berechtigungen keine passwortlosen Rechner. Es lässt sich meist immer so einrichten, das man nur einmal ein Passwort eingeben muss und danach nicht immer wieder erneut.
Ssh Verbindungen lieber mit public key als mit PasswortDanke für die Klarstellung
Das zitierte Thema oben interessiert mich. Ich würde gerne meine Systeme dagegen abklopfen. Gibt es irgendwo eine gute Seite wo das in Detail erklärt ist wie man da vorgeht bzw. solche Dinge einstellt? Ich wüsste z.B. grad nicht aus dem Stand wie das mit dem PublicKey gehtGruss Ralf
-
@derrapf sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:
Ssh Verbindungen lieber mit public key als mit Passwort
https://www.heise.de/tipps-tricks/SSH-Key-erstellen-so-geht-s-4400280.html
-
@thomas-braun Super! Danke!
Gruss Ralf -
Hier noch eine weitere Quelle
https://wiki.ubuntuusers.de/SSH/#Public-Key-Authentifizierung
-
@oliverio
Noochmal Danke. Gibt es noch andere Konzepte neben der Authentifizierung um das eigene Netz sicherer zu machen?
Beispiel: Ich mache täglich Backups auf ein Backup-NAS. Wenn aber ein Virus mein NAS findet und es verschlüsselt findet er auch das Backup NAS. Dann hab ich nicht s von meinen Backups.
Aber das ist jetzt für den Thread offtopic. Nicht dass da eine Diskussioon draus wird...
Gruss Ralf -
Das ist ein extrem weites Feld.
In der IT Industrie wird da auch ein erheblicher Aufwand gemacht.
Ich habe bereits mal umfangreich mit Leuten zusammen gearbeitet, die sich darum kümmerten und alle diese it Security zertifizierungen 27001 hatten.
Aber alles was da gemacht wird geht meines Erachtens über das hinaus was tatsächlich zu Hause nur gemacht werden sollte. Teilweise würde ich auch sagen, das das mit Consumer Hardware (bspw Router) gar nicht möglich ist, da du an die Einstellungen gar nicht ran kommst.
Was sicherlich auch gut ist wei für viele der Techniken du auch dich wirklich intensiv mit beschäftigen musst um keine Fehler zu machen.Hier mal ein paar tips vom BSI
https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/cyber-sicherheitsempfehlungen_node.htmlInsbesondere das segmentieren des Netzwerkes, also das einsperren der IoT Geräte in ein eigenes Netzwerk finde ich sehr sinnvoll. Einige von diesen Geräten haben eine billige zusammengeschusterte Firmware, die nicht wirklich sicher ist (es gab da ja schon ein paar Vorfälle mit botnetze oder Videokameras die jeder von außen nutzen konnte)
Leider ist das nicht ganz so simpel und man muss sich mit Firewall und Netzwerktechnologie beschäftigen. Man muss neben dem segmentieren dann aber auch Routen einrichten, so das die Geräte alle wieder bspw mit dem iobroker kommunizieren dürfen bzw. am besten im einem Slave iobroker. -
@derrapf sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:
Gibt es noch andere Konzepte
Ein einfach umzusetzendes, aber sehr grundlegendes Konzept ist:
Geräte, Software usw. auf einem aktuellen Stand halten. Regelmäßig Updates einspielen, keine abgekündigte Software weiterschleifen. -
Hallo alle
Danke für die Tipps. Da habe ich Lesestoff
27001 ist für mich tatsächlich auch ein wenig ein rotes Tuch da unsere Firma auch 27001 zertifiziert ist und das macht das Arbeiten nicht leichter. Im Gegenteil: Ich bin oft am Fluchen weil ich nicht mehr an bestimmte Dateien oder Rechner komme und immer wieder einen riesen Aufwand habe wieder Zugriff zu bekommen. Aber das ist ein anderes Thema. Ich will diesen Thread nicht damit belasten.
Gruss Ralf
