Neues YouTube-Video: Visualisierung im Devices-Adapter

MathiasJ

ich habe gerade einen Artikel gelesen
https://www.heise.de/amp/news/Unbekannte-infiltrieren-Paketmanager-npm-und-verseuchen-Tools-mit-Schadcode-6260153.html
und frage mich, in wieweit uns das trifft.
Gruß,
Mathias

Thomas Braun

@mathiasj
Musst du selber mal schauen.

cd /opt/iobroker
npm list MODULNAME

MathiasJ

@thomas-braun
da sollte aber nicht nur ich schauen, wenn einer betroffen ist, sind es alle.

Thomas Braun

@mathiasj

Die verwendeten Module können in jeder Installation halt anders sein. Da kannst du nur selber schauen. Oder was ist jetzt dein Ansatz oder Wunsch?

Bei mir ist eines der beiden Module im Einsatz (bei mehreren Adaptern), aber in älteren Versionen.

Homoran

@mathiasj https://forum.iobroker.net/topic/49190/schadcode-in-npm-paketen-laut-heise?_=1636531240879

MathiasJ

@thomas-braun
nach welchen Modulnamen soll ich jetzt genau suchen?
Mein Wunsch ist es, nur eine Warnung auszusprechen.
da ich jedesmal updates mache, und ich nicht weiß, seit wann npm kompromitiert ist, sollte jeder mal nachschauen, ob es ihn erwischt hat.

David G.

@mathiasj

Diese Versionen sind manipuliert
Auf den jeweiligen Github-Seiten von coa (Command Line Parser) und rc (Configuration Loader) listen die Repository-Verantwortlichen die mit Schadcode versuchten Versionen auf:

coa
2.0.3, 2.0.4, 2.1.1, 2.1.3, 3.0.1, 3.1.3

rc
1.2.9, 1.3.9, 2.3.9

Homoran

@mathiasj sagte in NPM verseucht:

nach welchen Modulnamen soll ich jetzt genau suchen?

steht zum einen in dem von dir verlinkten Heise Artikel, zum anderen hat @Thomas-Braun das in dem von mir verlinkten Thread ausführlich erklärt

MathiasJ

@homoran
ich bin gerade dran.
Ich habe maximal die 1.2.8 auch hier alles sauber.
bei @dondaik auch :)

Meister Mopper

Meine drei ioBroker-hosts sehen alle so aus:

thomas@rpizigbee:/opt/iobroker $ npm list coa
iobroker.inst@2.0.3 /opt/iobroker
└── (empty)

thomas@rpizigbee:/opt/iobroker $ npm list rc
iobroker.inst@2.0.3 /opt/iobroker
└─┬ iobroker.zigbee@1.5.6
  ├─┬ zigbee-herdsman@0.13.110
  │ └─┬ @serialport/bindings@9.0.4
  │   └─┬ prebuild-install@6.0.1
  │     └── rc@1.2.8 
  └─┬ zigbee-herdsman-converters@14.0.162
    └─┬ zigbee-herdsman@0.13.107
      └─┬ @serialport/bindings@9.0.4
        └─┬ prebuild-install@6.0.1
          └── rc@1.2.8

Bedeutet das, ich muss sie jetzt komplett neu aufsetzen?

Homoran

@meister-mopper sagte in NPM verseucht:

Bedeutet das, ich muss sie jetzt komplett neu aufsetzen?

warum?

@david-g sagte in NPM verseucht:

rc 1.2.9, 1.3.9, 2.3.9

MathiasJ

@meister-mopper
auch bei Dir ist alles sauber!

Meister Mopper

@homoran und @MathiasJ
Okay, ich dachte wegen 2.0.3. Dann ist gut

sigi234

Auch OK

C:\Program Files\iobroker\Test2>npm list coa
iobroker.inst@2.0.3 C:\Program Files\iobroker\Test2
`-- (empty)


C:\Program Files\iobroker\Test2>npm list rc
iobroker.inst@2.0.3 C:\Program Files\iobroker\Test2
`-- iobroker.discovery@2.7.0
  `-- serialport@9.2.0
    `-- @serialport/bindings@9.2.0
      `-- prebuild-install@6.1.4
        `-- rc@1.2.8


C:\Program Files\iobroker\Test2>

AlCalzone

@meister-mopper sagte in NPM verseucht:

ich dachte wegen 2.0.3

Da ist iobroker.inst@2.0.3, nicht coa!

mickym

@mathiasj Interessant - wie sich alle paar Tage die Threads wiederholen - insbesondere wo man noch nicht mal Monate zurück schauen muss. ;)
https://forum.iobroker.net/topic/49190/schadcode-in-npm-paketen-laut-heise

Homoran

@mickym
@homoran sagte in NPM verseucht:

@mathiasj https://forum.iobroker.net/topic/49190/schadcode-in-npm-paketen-laut-heise?_=1636531240879

mickym

@homoran OK Oh - erwischt - wie sich Beiträge in den Threads alle paar Stunden wiederholen können.
Ich bin schuldig und bitte um Entschuldigung. Wer im Glashaus sitzt, sollte nicht mit Steinen werfen. ;)