NEWS
Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?
-
da vor einer weile es schon einmal vorkam, habe ich mein damalig erstelltes skript mit den versionen der diesmal betroffenen bibliotheken erweitert.
date mit endung ps1 ist für windows powershell
datei mit endung sh ist für debian artige mit basheine der dateien, passend zum betriebssystem in das hauptverzeichnis eurer iobroker installation kopieren, bei linux mit
chmod +x compromised.shnoch für die ausführbarkeit sorgen und das
programm starten.
im idealfall erscheint dann folgende meldung🔍 Durchsuche Lockfiles in /home/iobroker/docker/volume/iobroker/dev/iobroker nach kompromittierten NPM-Paketen... ✅ Keine kompromittierten Pakete in Lockfiles gefunden.skripte werden ohne irgendeine garantie bereitgestellt
Hallo, wenn ich es unter Windows Power Shell ausführe wird es zwar geprüft, aber das Ergebiss wird nicht angezeigt, da das Fenster sofort weg geht.
Was mache ich Falsch?
-
@feuersturm sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:
Weitere npm Pakete sind infiziert.
...und das noch als Wurm :rage:
wie soll man da noch sicher sein, wenn man was updated?
-
@feuersturm sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:
@mcm1957 gibt es die Möglichkeit die Prüfung von @OliverIO in den Adapter Checker zu integrieren und das Core Team / den Entwickler entsprechend zu benachrichtigen?
Fas wäre ein Anfang!
Aber was nutzt es?
mit zu viel Halbwissen un Paranoia ausgestattet:- Das Skript müsste um die jetzt vermuteten 120 ypakete aufgebohrt werden.
- Bis diese bekannt sind, sind sie wahrscheinlich entwurmt.
- was vorher heruntergeladen wurde hat sein Werk vollbracht und befindet sich dank selst replizierten Kopien irgendwo im Netz
Wenn man also eine positivmeldung bekommt ist bereits das gesamte Netz kompromittiwrt.
...und jetzt: beruhigt mich bitte!!
-
@feuersturm said in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:
@mcm1957 gibt es die Möglichkeit die Prüfung von @OliverIO in den Adapter Checker zu integrieren und das Core Team / den Entwickler entsprechend zu benachrichtigen?
Wo gibts ein Script das ein Repository scannt?
OliverIO hat soweit ich weiß "nur" ein Script erstellt dass eine Installation / Arbeitsumgebung scanned. Das ist auch m.E. der sinnvolle Platz um zu scannen da man dort sieht was wirklich installiert ist. Aber auch die Userumgebung hat der Repochecker keinen Zugriff. Hier wär es einzig möglich den js-contoller um einen "Virenscanner" zu erweitern. Wär eine Idee die man durchdenken könnte. Obs den Aufwand Wert ist müsste Core Team überlegen.
Entwicklung u Betreuung: envertech-pv, hoymiles-ms, ns-client, pid, snmp Adapter;
Support Repositoryverwaltung.Wer Danke sagen will, kann nen Kaffee spendieren: https://paypal.me/mcm1957atiobroker
-
@feuersturm said in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:
@mcm1957 gibt es die Möglichkeit die Prüfung von @OliverIO in den Adapter Checker zu integrieren und das Core Team / den Entwickler entsprechend zu benachrichtigen?
Wo gibts ein Script das ein Repository scannt?
OliverIO hat soweit ich weiß "nur" ein Script erstellt dass eine Installation / Arbeitsumgebung scanned. Das ist auch m.E. der sinnvolle Platz um zu scannen da man dort sieht was wirklich installiert ist. Aber auch die Userumgebung hat der Repochecker keinen Zugriff. Hier wär es einzig möglich den js-contoller um einen "Virenscanner" zu erweitern. Wär eine Idee die man durchdenken könnte. Obs den Aufwand Wert ist müsste Core Team überlegen.
Mittlerweile ist die Zahl der infizierten Pakete auf fast 500 angewachsen. Sicherheitsunternehmen raten Entwicklern und Devops-Teams dringend, ihre Entwicklungsumgebungen zu überprüfen und Pakete an als gutartig bekannte Versionen zu "pinnen". Eine umfangreiche Liste mit 477 zwischenzeitlich betroffenen Paketen pflegt das Team von Socket.dev.
-
Der Repochecker mault, wenn man eine Version pinnt. Aber könnte fast wetten das der ab heute nachmittag einem 20 Issue aufmacht wenn ein workflow mit dem Namen
shai-huludexistiert. :DKann mich zwar irren, aber wenn der zeug mit dem namen
shai-huluderstellt sollte man den string doch finden können. Wenn der als klartext im code steht - was ich nicht weiß. -
Hallo, wenn ich es unter Windows Power Shell ausführe wird es zwar geprüft, aber das Ergebiss wird nicht angezeigt, da das Fenster sofort weg geht.
Was mache ich Falsch?@sigi234 sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:
Hallo, wenn ich es unter Windows Power Shell ausführe wird es zwar geprüft, aber das Ergebiss wird nicht angezeigt, da das Fenster sofort weg geht.
Was mache ich Falsch?Gib den Befehl auf der Konsole ein
Und starte nicht über Explorer -
Der Repochecker mault, wenn man eine Version pinnt. Aber könnte fast wetten das der ab heute nachmittag einem 20 Issue aufmacht wenn ein workflow mit dem Namen
shai-huludexistiert. :DKann mich zwar irren, aber wenn der zeug mit dem namen
shai-huluderstellt sollte man den string doch finden können. Wenn der als klartext im code steht - was ich nicht weiß.@ticaki sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:
Wenn der als klartext im code steht
der code läuft sogar tlw. rückwärts
-
@feuersturm said in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:
@mcm1957 gibt es die Möglichkeit die Prüfung von @OliverIO in den Adapter Checker zu integrieren und das Core Team / den Entwickler entsprechend zu benachrichtigen?
Wo gibts ein Script das ein Repository scannt?
OliverIO hat soweit ich weiß "nur" ein Script erstellt dass eine Installation / Arbeitsumgebung scanned. Das ist auch m.E. der sinnvolle Platz um zu scannen da man dort sieht was wirklich installiert ist. Aber auch die Userumgebung hat der Repochecker keinen Zugriff. Hier wär es einzig möglich den js-contoller um einen "Virenscanner" zu erweitern. Wär eine Idee die man durchdenken könnte. Obs den Aufwand Wert ist müsste Core Team überlegen.
@mcm1957
Es scannt das Package-lock.json.
Da stehen alle Pakete mit ihrer Version drin, die installiert wurden.Es prüft nicht, ob die schlechten pakete schon irgendwelche Schäden verursacht haben.
-
@mcm1957
Es scannt das Package-lock.json.
Da stehen alle Pakete mit ihrer Version drin, die installiert wurden.Es prüft nicht, ob die schlechten pakete schon irgendwelche Schäden verursacht haben.
@oliverio said in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:
@mcm1957
Es scannt das Package-lock.json.
Da stehen alle Pakete mit ihrer Version drin, die installiert wurden.Das macht am usersystem / development system ja Sinn. Daher ist ein Scan im Repo eher irrelevant da das package-lock ja nicht via npm ausgeliefert und installiert wird.
Es prüft nicht, ob die schlechten pakete schon irgendwelche Schäden verursacht haben.
Das wär auch ein kleines bisserl mehr als ein einzelnes Script erledigen kann :-)
-
Mittlerweile ist die Zahl der infizierten Pakete auf fast 500 angewachsen. Sicherheitsunternehmen raten Entwicklern und Devops-Teams dringend, ihre Entwicklungsumgebungen zu überprüfen und Pakete an als gutartig bekannte Versionen zu "pinnen". Eine umfangreiche Liste mit 477 zwischenzeitlich betroffenen Paketen pflegt das Team von Socket.dev.
@thomas-braun sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:
Mittlerweile ist die Zahl der infizierten Pakete auf fast 500 angewachsen. Sicherheitsunternehmen raten Entwicklern und Devops-Teams dringend, ihre Entwicklungsumgebungen zu überprüfen und Pakete an als gutartig bekannte Versionen zu "pinnen". Eine umfangreiche Liste mit 477 zwischenzeitlich betroffenen Paketen pflegt das Team von Socket.dev.
Hier ein zum Stand aktualisierte Skripte
https://github.com/oweitman/compromisedPackagesBasis war die Liste von
https://socket.dev/blog/ongoing-supply-chain-attack-targets-crowdstrike-npm-packagesdas problem mit den Zeilenumbrüchen im shell script dürfte behoben sein.
Im readme steht wie man die skripte ausführen kann ohne installation
die powershellversion dauert ein wenig. ich versuche das bei gelegenheit zu optimieren
Meine Adapter und Widgets
TVProgram, SqueezeboxRPC, OpenLiga, RSSFeed, MyTime,, pi-hole2, vis-json-template, skiinfo, vis-mapwidgets, vis-2-widgets-rssfeed
Links im Profil -
@thomas-braun sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:
Mittlerweile ist die Zahl der infizierten Pakete auf fast 500 angewachsen. Sicherheitsunternehmen raten Entwicklern und Devops-Teams dringend, ihre Entwicklungsumgebungen zu überprüfen und Pakete an als gutartig bekannte Versionen zu "pinnen". Eine umfangreiche Liste mit 477 zwischenzeitlich betroffenen Paketen pflegt das Team von Socket.dev.
Hier ein zum Stand aktualisierte Skripte
https://github.com/oweitman/compromisedPackagesBasis war die Liste von
https://socket.dev/blog/ongoing-supply-chain-attack-targets-crowdstrike-npm-packagesdas problem mit den Zeilenumbrüchen im shell script dürfte behoben sein.
Im readme steht wie man die skripte ausführen kann ohne installation
die powershellversion dauert ein wenig. ich versuche das bei gelegenheit zu optimieren
@oliverio sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:
Im readme steht wie man die skripte ausführen kann ohne installation
:+1:
und wo?
/opt/iobroker/ ?EDIT:
DANKE!!
-
@feuersturm sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:
@mcm1957 gibt es die Möglichkeit die Prüfung von @OliverIO in den Adapter Checker zu integrieren und das Core Team / den Entwickler entsprechend zu benachrichtigen?
Fas wäre ein Anfang!
Aber was nutzt es?
mit zu viel Halbwissen un Paranoia ausgestattet:- Das Skript müsste um die jetzt vermuteten 120 ypakete aufgebohrt werden.
- Bis diese bekannt sind, sind sie wahrscheinlich entwurmt.
- was vorher heruntergeladen wurde hat sein Werk vollbracht und befindet sich dank selst replizierten Kopien irgendwo im Netz
Wenn man also eine positivmeldung bekommt ist bereits das gesamte Netz kompromittiwrt.
...und jetzt: beruhigt mich bitte!!
@homoran sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:
@feuersturm sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:
@mcm1957 gibt es die Möglichkeit die Prüfung von @OliverIO in den Adapter Checker zu integrieren und das Core Team / den Entwickler entsprechend zu benachrichtigen?
Fas wäre ein Anfang!
Aber was nutzt es?
mit zu viel Halbwissen un Paranoia ausgestattet:- Das Skript müsste um die jetzt vermuteten 120 ypakete aufgebohrt werden.
- Bis diese bekannt sind, sind sie wahrscheinlich entwurmt.
- was vorher heruntergeladen wurde hat sein Werk vollbracht und befindet sich dank selst replizierten Kopien irgendwo im Netz
Wenn man also eine positivmeldung bekommt ist bereits das gesamte Netz kompromittiwrt.
...und jetzt: beruhigt mich bitte!!
Leider keine beruhigende Nachricht. Aber
A) du weißt es nicht zeitnah, dann arbeiten die Skripte uU unentdeckt weiter.
B) du weißt es und kannst Maßnahmen ergreifenAktuell suchen diese Skripte nur nach weiteren Zugangsdaten/Token um noch mehr repositories übernehmen zu können.
Morgen wirst du Teil eines Bot-Netzes und übermorgen wird dein Netzwerk übernommen, nach passwörtern und bankzugängen, etc gesucht.Für javascript (Bei anderen Umgebungen wahrscheinlich ähnlich) alles was herunterladbar ist, kann auch ausgeführt werden. gut bei einigen dingen fehlen Berechtigungen, aber im eigenen LAN von innen heraus verzichtet man oft auf solche Sicherungen.
-
@oliverio sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:
Im readme steht wie man die skripte ausführen kann ohne installation
:+1:
und wo?
/opt/iobroker/ ?EDIT:
DANKE!!
-
@homoran sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:
@feuersturm sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:
@mcm1957 gibt es die Möglichkeit die Prüfung von @OliverIO in den Adapter Checker zu integrieren und das Core Team / den Entwickler entsprechend zu benachrichtigen?
Fas wäre ein Anfang!
Aber was nutzt es?
mit zu viel Halbwissen un Paranoia ausgestattet:- Das Skript müsste um die jetzt vermuteten 120 ypakete aufgebohrt werden.
- Bis diese bekannt sind, sind sie wahrscheinlich entwurmt.
- was vorher heruntergeladen wurde hat sein Werk vollbracht und befindet sich dank selst replizierten Kopien irgendwo im Netz
Wenn man also eine positivmeldung bekommt ist bereits das gesamte Netz kompromittiwrt.
...und jetzt: beruhigt mich bitte!!
Leider keine beruhigende Nachricht. Aber
A) du weißt es nicht zeitnah, dann arbeiten die Skripte uU unentdeckt weiter.
B) du weißt es und kannst Maßnahmen ergreifenAktuell suchen diese Skripte nur nach weiteren Zugangsdaten/Token um noch mehr repositories übernehmen zu können.
Morgen wirst du Teil eines Bot-Netzes und übermorgen wird dein Netzwerk übernommen, nach passwörtern und bankzugängen, etc gesucht.Für javascript (Bei anderen Umgebungen wahrscheinlich ähnlich) alles was herunterladbar ist, kann auch ausgeführt werden. gut bei einigen dingen fehlen Berechtigungen, aber im eigenen LAN von innen heraus verzichtet man oft auf solche Sicherungen.
@oliverio Danke!
Bestätigt ja im Prinzip mein Szenario.Worst case ist dabei ein übernommener Sat-Receiver/Smart-TV oder ähnliches unauffällig im Hintergrund werkelndes, der dann als man in the middle alles scannt und umleitet
-
@oliverio said in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:
@homoran danke für den hinweis
weiß jemand wo sich das windows verzeichnis befindet?
Bei mir c:\iobroker
Ist m.W. nach default
Entwicklung u Betreuung: envertech-pv, hoymiles-ms, ns-client, pid, snmp Adapter;
Support Repositoryverwaltung.Wer Danke sagen will, kann nen Kaffee spendieren: https://paypal.me/mcm1957atiobroker
-
@oliverio said in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:
@homoran danke für den hinweis
weiß jemand wo sich das windows verzeichnis befindet?
Bei mir c:\iobroker
Ist m.W. nach default
-
@oliverio sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:
weiß jemand wo sich das windows verzeichnis befindet?
Das ist verschieden , wie es der Benutzer mit dem Installer angegeben hat.
Standart ist c:\iobroker
-
@oliverio Danke!
Bestätigt ja im Prinzip mein Szenario.Worst case ist dabei ein übernommener Sat-Receiver/Smart-TV oder ähnliches unauffällig im Hintergrund werkelndes, der dann als man in the middle alles scannt und umleitet
@homoran
ja leider
oder jedes einzelne iot gerät im netz. die waren ja in der vergangenheit öfters angriffsziel wegen schlecht programmierter firmware.- wenn jetzt der angriff von innen kommt,
- scan der infrastruktur
- mit KI die passenden Angriffsvektoren je Gerät ermitteln
- Code-Teile automatisch runterladen und ausführen.
...ich höre jetzt auf.
Aber auf sowas muss man sich einstellen.
NPM hat auch keine vorausschauendes Sicherheitskonzept, alles läuft erst danach. -
@homoran
ja leider
oder jedes einzelne iot gerät im netz. die waren ja in der vergangenheit öfters angriffsziel wegen schlecht programmierter firmware.- wenn jetzt der angriff von innen kommt,
- scan der infrastruktur
- mit KI die passenden Angriffsvektoren je Gerät ermitteln
- Code-Teile automatisch runterladen und ausführen.
...ich höre jetzt auf.
Aber auf sowas muss man sich einstellen.
NPM hat auch keine vorausschauendes Sicherheitskonzept, alles läuft erst danach.Na ja
Unter windows sollte es eigentlich möglich sein, dass die diversen Virenscanner die bösen Pakete erkennen. Da ein typisches npm Paket auch keinen binären Code enthält wären auch verschlüsselte und selbstmodifizierende Pakete wohl höchst suspekt.
Ich würd eigentlich erwarten, dass die bezahlten und auch die freien Virenscanner da sehr zeitnahe anschlagen. Keine Ahnung ob dem so ist.
Entwicklung u Betreuung: envertech-pv, hoymiles-ms, ns-client, pid, snmp Adapter;
Support Repositoryverwaltung.Wer Danke sagen will, kann nen Kaffee spendieren: https://paypal.me/mcm1957atiobroker
326
Online32.7k
Users82.4k
Topics1.3m
Posts