NPM verseucht
-
ich habe gerade einen Artikel gelesen
https://www.heise.de/amp/news/Unbekannte-infiltrieren-Paketmanager-npm-und-verseuchen-Tools-mit-Schadcode-6260153.html
und frage mich, in wieweit uns das trifft.
Gruß,
Mathias@mathiasj https://forum.iobroker.net/topic/49190/schadcode-in-npm-paketen-laut-heise?_=1636531240879
kein Support per PN! - Fragen im Forum stellen -
Benutzt das Voting rechts unten im Beitrag wenn er euch geholfen hat.
Das Forum freut sich über eine Spende. Benutzt dazu den Spendenbutton oben rechts. Danke!
der Installationsfixer: curl -fsL https://iobroker.net/fix.sh | bash - -
Die verwendeten Module können in jeder Installation halt anders sein. Da kannst du nur selber schauen. Oder was ist jetzt dein Ansatz oder Wunsch?
Bei mir ist eines der beiden Module im Einsatz (bei mehreren Adaptern), aber in älteren Versionen.
@thomas-braun
nach welchen Modulnamen soll ich jetzt genau suchen?
Mein Wunsch ist es, nur eine Warnung auszusprechen.
da ich jedesmal updates mache, und ich nicht weiß, seit wann npm kompromitiert ist, sollte jeder mal nachschauen, ob es ihn erwischt hat.IObroker auf dem NUC als VM.
Da ich noch keine Aktoren habe, wird momentan via Radar nur der AB der Fritzbox ein- und ausgeschaltet.
Welches Smarthome-System es letztendlich wird, weiß ich noch nicht. Vielleicht kommen auch nur Zigbee-Geräte ins Haus. -
@thomas-braun
nach welchen Modulnamen soll ich jetzt genau suchen?
Mein Wunsch ist es, nur eine Warnung auszusprechen.
da ich jedesmal updates mache, und ich nicht weiß, seit wann npm kompromitiert ist, sollte jeder mal nachschauen, ob es ihn erwischt hat.Diese Versionen sind manipuliert Auf den jeweiligen Github-Seiten von coa (Command Line Parser) und rc (Configuration Loader) listen die Repository-Verantwortlichen die mit Schadcode versuchten Versionen auf: coa 2.0.3, 2.0.4, 2.1.1, 2.1.3, 3.0.1, 3.1.3 rc 1.2.9, 1.3.9, 2.3.9 -
@thomas-braun
nach welchen Modulnamen soll ich jetzt genau suchen?
Mein Wunsch ist es, nur eine Warnung auszusprechen.
da ich jedesmal updates mache, und ich nicht weiß, seit wann npm kompromitiert ist, sollte jeder mal nachschauen, ob es ihn erwischt hat.@mathiasj sagte in NPM verseucht:
nach welchen Modulnamen soll ich jetzt genau suchen?
steht zum einen in dem von dir verlinkten Heise Artikel, zum anderen hat @Thomas-Braun das in dem von mir verlinkten Thread ausführlich erklärt
kein Support per PN! - Fragen im Forum stellen -
Benutzt das Voting rechts unten im Beitrag wenn er euch geholfen hat.
Das Forum freut sich über eine Spende. Benutzt dazu den Spendenbutton oben rechts. Danke!
der Installationsfixer: curl -fsL https://iobroker.net/fix.sh | bash - -
@mathiasj sagte in NPM verseucht:
nach welchen Modulnamen soll ich jetzt genau suchen?
steht zum einen in dem von dir verlinkten Heise Artikel, zum anderen hat @Thomas-Braun das in dem von mir verlinkten Thread ausführlich erklärt
-
@mathiasj sagte in NPM verseucht:
nach welchen Modulnamen soll ich jetzt genau suchen?
steht zum einen in dem von dir verlinkten Heise Artikel, zum anderen hat @Thomas-Braun das in dem von mir verlinkten Thread ausführlich erklärt
Meine drei ioBroker-hosts sehen alle so aus:
thomas@rpizigbee:/opt/iobroker $ npm list coa iobroker.inst@2.0.3 /opt/iobroker └── (empty) thomas@rpizigbee:/opt/iobroker $ npm list rc iobroker.inst@2.0.3 /opt/iobroker └─┬ iobroker.zigbee@1.5.6 ├─┬ zigbee-herdsman@0.13.110 │ └─┬ @serialport/bindings@9.0.4 │ └─┬ prebuild-install@6.0.1 │ └── rc@1.2.8 └─┬ zigbee-herdsman-converters@14.0.162 └─┬ zigbee-herdsman@0.13.107 └─┬ @serialport/bindings@9.0.4 └─┬ prebuild-install@6.0.1 └── rc@1.2.8Bedeutet das, ich muss sie jetzt komplett neu aufsetzen?
Proxmox und HA - dank KI/AI endlich "blocklyfrei"
-
Meine drei ioBroker-hosts sehen alle so aus:
thomas@rpizigbee:/opt/iobroker $ npm list coa iobroker.inst@2.0.3 /opt/iobroker └── (empty) thomas@rpizigbee:/opt/iobroker $ npm list rc iobroker.inst@2.0.3 /opt/iobroker └─┬ iobroker.zigbee@1.5.6 ├─┬ zigbee-herdsman@0.13.110 │ └─┬ @serialport/bindings@9.0.4 │ └─┬ prebuild-install@6.0.1 │ └── rc@1.2.8 └─┬ zigbee-herdsman-converters@14.0.162 └─┬ zigbee-herdsman@0.13.107 └─┬ @serialport/bindings@9.0.4 └─┬ prebuild-install@6.0.1 └── rc@1.2.8Bedeutet das, ich muss sie jetzt komplett neu aufsetzen?
@meister-mopper sagte in NPM verseucht:
Bedeutet das, ich muss sie jetzt komplett neu aufsetzen?
warum?
@david-g sagte in NPM verseucht:
rc 1.2.9, 1.3.9, 2.3.9
kein Support per PN! - Fragen im Forum stellen -
Benutzt das Voting rechts unten im Beitrag wenn er euch geholfen hat.
Das Forum freut sich über eine Spende. Benutzt dazu den Spendenbutton oben rechts. Danke!
der Installationsfixer: curl -fsL https://iobroker.net/fix.sh | bash - -
Meine drei ioBroker-hosts sehen alle so aus:
thomas@rpizigbee:/opt/iobroker $ npm list coa iobroker.inst@2.0.3 /opt/iobroker └── (empty) thomas@rpizigbee:/opt/iobroker $ npm list rc iobroker.inst@2.0.3 /opt/iobroker └─┬ iobroker.zigbee@1.5.6 ├─┬ zigbee-herdsman@0.13.110 │ └─┬ @serialport/bindings@9.0.4 │ └─┬ prebuild-install@6.0.1 │ └── rc@1.2.8 └─┬ zigbee-herdsman-converters@14.0.162 └─┬ zigbee-herdsman@0.13.107 └─┬ @serialport/bindings@9.0.4 └─┬ prebuild-install@6.0.1 └── rc@1.2.8Bedeutet das, ich muss sie jetzt komplett neu aufsetzen?
@meister-mopper
auch bei Dir ist alles sauber! -
@meister-mopper sagte in NPM verseucht:
Bedeutet das, ich muss sie jetzt komplett neu aufsetzen?
warum?
@david-g sagte in NPM verseucht:
rc 1.2.9, 1.3.9, 2.3.9
Proxmox und HA - dank KI/AI endlich "blocklyfrei"
-
Auch OK
C:\Program Files\iobroker\Test2>npm list coa iobroker.inst@2.0.3 C:\Program Files\iobroker\Test2 `-- (empty) C:\Program Files\iobroker\Test2>npm list rc iobroker.inst@2.0.3 C:\Program Files\iobroker\Test2 `-- iobroker.discovery@2.7.0 `-- serialport@9.2.0 `-- @serialport/bindings@9.2.0 `-- prebuild-install@6.1.4 `-- rc@1.2.8 C:\Program Files\iobroker\Test2> -
@meister-mopper sagte in NPM verseucht:
ich dachte wegen 2.0.3
Da ist iobroker.inst@2.0.3, nicht coa!
-
ich habe gerade einen Artikel gelesen
https://www.heise.de/amp/news/Unbekannte-infiltrieren-Paketmanager-npm-und-verseuchen-Tools-mit-Schadcode-6260153.html
und frage mich, in wieweit uns das trifft.
Gruß,
Mathias@mathiasj Interessant - wie sich alle paar Tage die Threads wiederholen - insbesondere wo man noch nicht mal Monate zurück schauen muss. ;)
https://forum.iobroker.net/topic/49190/schadcode-in-npm-paketen-laut-heise -
@mickym
@homoran sagte in NPM verseucht:@mathiasj https://forum.iobroker.net/topic/49190/schadcode-in-npm-paketen-laut-heise?_=1636531240879
kein Support per PN! - Fragen im Forum stellen -
Benutzt das Voting rechts unten im Beitrag wenn er euch geholfen hat.
Das Forum freut sich über eine Spende. Benutzt dazu den Spendenbutton oben rechts. Danke!
der Installationsfixer: curl -fsL https://iobroker.net/fix.sh | bash - -
- erwischt - wie sich Beiträge in den Threads alle paar Stunden wiederholen können. 
Hey! Du scheinst an dieser Unterhaltung interessiert zu sein, hast aber noch kein Konto.
Hast du es satt, bei jedem Besuch durch die gleichen Beiträge zu scrollen? Wenn du dich für ein Konto anmeldest, kommst du immer genau dorthin zurück, wo du zuvor warst, und kannst dich über neue Antworten benachrichtigen lassen (entweder per E-Mail oder Push-Benachrichtigung). Du kannst auch Lesezeichen speichern und Beiträge positiv bewerten, um anderen Community-Mitgliedern deine Wertschätzung zu zeigen.
Mit deinem Input könnte dieser Beitrag noch besser werden 💗
Registrieren Anmelden340
Online32.9k
Benutzer83.1k
Themen1.3m
Beiträge