Navigation

    Logo
    • Register
    • Login
    • Search
    • Recent
    • Tags
    • Unread
    • Categories
    • Unreplied
    • Popular
    • GitHub
    • Docu
    • Hilfe
    1. Home
    2. Deutsch
    3. ioBroker Allgemein
    4. Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?

    NEWS

    • Amazon Alexa - ioBroker Skill läuft aus ?

    • Monatsrückblick – September 2025

    • Neues Video "KI im Smart Home" - ioBroker plus n8n

    Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?

    This topic has been deleted. Only users with topic management privileges can see it.
    • mcm1957
      mcm1957 @msauer last edited by

      @msauer
      Danke für Info. Ev. lesen es genug BEVOR sie ihr System schrotten 🙂

      Thomas Braun 1 Reply Last reply Reply Quote 0
      • MartinP
        MartinP @mcm1957 last edited by

        @mcm1957

        npm audit meldet bei meinem Produktivsystem eine Unmenge von Issues diverser Severities. Für User m.E. unverständlich. Für einen Check im Rahmen des Releases eher zuviel / undurchsichtig.

        Hmm ....

        martin@iobroker-test-sicher:~$ npm audit --verbose
        npm verbose cli /usr/bin/node /usr/bin/npm
        npm info using npm@10.9.3
        npm info using node@v22.19.0
        npm verbose title npm audit
        npm verbose argv "audit" "--loglevel" "verbose"
        npm verbose logfile logs-max:10 dir:/home/martin/.npm/_logs/2025-09-17T14_32_02_986Z-
        npm verbose logfile /home/martin/.npm/_logs/2025-09-17T14_32_02_986Z-debug-0.log
        npm http fetch POST 200 https://registry.npmjs.org/-/npm/v1/security/advisories/bulk 941ms
        found 0 vulnerabilities
        npm verbose cwd /home/martin
        npm verbose os Linux 6.8.12-15-pve
        npm verbose node v22.19.0
        npm verbose npm  v10.9.3
        npm verbose exit 0
        npm info ok
        martin@iobroker-test-sicher:~
        
        Thomas Braun 1 Reply Last reply Reply Quote 0
        • Thomas Braun
          Thomas Braun Most Active @mcm1957 last edited by

          Und weil wir gerade bei Checks und Audits sind:

          Im iob diag gibt es ja auch einen solchen Test, der bezieht sich aber NUR auf die nodejs-Version und dort bekannte Sicherheitsprobleme. Da wird nicht auf die einzelnen Module geschaut.

          1 Reply Last reply Reply Quote 0
          • Thomas Braun
            Thomas Braun Most Active @MartinP last edited by Thomas Braun

            @martinp sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

            npm verbose cwd /home/martin

            Du stehst im falschen Verzeichnis...
            Stell dich dahin, wo der ioBroker wohnt, dann wird da auch was ausgespuckt.

            1 Reply Last reply Reply Quote 1
            • OliverIO
              OliverIO @albert last edited by OliverIO

              gelöscht als ergebnis von 2 parallel geöffneten kommentarfenstern

              1 Reply Last reply Reply Quote 0
              • OliverIO
                OliverIO @msauer last edited by OliverIO

                @albert sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

                Ich habe dein Skript laufen lassen und es meldet dass nichts gefunden ist.
                npm audit meldet aber einige vulnerabilities, jetzt befürchte ich dass ich mir ein verseuchtes Paket mit einem Update installieren könnte.

                ja das sieht für die meisten ähnlich aus.

                57 vulnerabilities (11 low, 15 moderate, 28 high, 3 critical)
                

                primär ist der audit befehl für die entwickler. dann ist das skript doch nicht ganz so schlecht, allerdings zeigt es nur einen teil, nicht aktuellen stand der wahrheit.

                die meisten probleme sind nicht wirklich kritisch, da es nicht bedeutet, das problem in funktionen steckt die nicht verwendet werden. behoben werden sollten sie dennoch, aber:

                da die verwendeten abhängigkeiten eine baumstruktur abbilden, also packet ist von packet ist von packet abhängig, ist es nicht so einfach das zu beheben. insbesondere benötigt man die mithelfe von den maintainer der anderen packete (diese dann aber auch wieder der maintainer deren verwendeten packete).

                für viele probleme gibt es bereits verbesserte packete, allerdings durch die vielfältige verflechtungen muss immer der kleinste gemeinsame nenner genommen werden, so das oft wegen wenigen blockierern das neuere/bessere packet nicht verwendet werden kann.

                die selbe problematik hat man auch unter windows (DLL Hölle genannt, kenne ich aber auch noch ähnlich bei PHP) bei python weiß ich nicht, aber bei npm nun auch. das war aber absehbar.

                die folgende grafik zeigt das sehr gut
                c6207c1c-e8a2-4c22-b933-71c179f20dba-image.png

                https://blog.mi.hdm-stuttgart.de/index.php/2022/02/25/software-dependencies-die-gefahr-aus-der-tiefe/

                Thomas Braun 1 Reply Last reply Reply Quote 4
                • Thomas Braun
                  Thomas Braun Most Active @OliverIO last edited by

                  @oliverio sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

                  die selbe problematik hat man auch unter windows (DLL Hölle genannt, kenne ich aber auch noch ähnlich bei PHP) bei python weiß ich nicht, aber bei npm nun auch.

                  Gleiches 'Phänomen' bei Linux Distributionen, da halt statt 'DLL Hölle' die 'Dependency Hell'. Die wird umso größer, je mehr Paketquellen von Dritten und/oder vorherigen Releases da angelegt sind.

                  1 Reply Last reply Reply Quote 0
                  • dr rocktor2
                    dr rocktor2 @OliverIO last edited by

                    @oliverio

                    Moin,

                    ich war mal so frei das bash-Skript auf die aktuelle Länge der Liste der zu erweitern.
                    Credits to oweitman

                    VG

                    D

                    Homoran OliverIO 2 Replies Last reply Reply Quote 0
                    • Homoran
                      Homoran Global Moderator Administrators @dr rocktor2 last edited by Homoran

                      @dr-rocktor2 Danke für die Mühe!

                      @oliverio
                      Wir haben bis zur Überprüfung den Link zum Skript entfernt.
                      Das Skript wurde von @dutchman auf Github als PR zum bestehenden Skript angeboten.
                      Dort kannst du es weiter verfolgen

                      D OliverIO 2 Replies Last reply Reply Quote 0
                      • D
                        derrapf @Homoran last edited by

                        @homoran
                        Ich bin jetzt ziemlich verunsichert.
                        Es stehen Updates an, aber ich hab sicherheiitshalber noch nichts gemacht.
                        Kann man updaten?
                        Bzw. wie kann ich feststellen welches Addon ich gefahrlos updaten kann?
                        Oder soll ich erstmal warten?

                        Gruss Ralf

                        1 Reply Last reply Reply Quote 0
                        • OliverIO
                          OliverIO @dr rocktor2 last edited by

                          @dr-rocktor2

                          danke für die Aktualisierung

                          1 Reply Last reply Reply Quote 0
                          • OliverIO
                            OliverIO @Homoran last edited by

                            @homoran sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

                            @dr-rocktor2 Danke für die Mühe!

                            @oliverio
                            Wir haben bis zur Überprüfung den Link zum Skript entfernt.
                            Das Skript wurde von @dutchman auf Github als PR zum bestehenden Skript angeboten.
                            Dort kannst du es weiter verfolgen

                            Gut das ihr nochmal geschrieben habt.
                            Ich hatte bei github über den PR keine notification.
                            Ich schaue mal ob man die Paketliste als separate einheitlichen Input für alle beiden Skripte hinbekommt, dann ist man da unabhängig für zukünftige PRs

                            1 Reply Last reply Reply Quote 1
                            • OliverIO
                              OliverIO last edited by

                              so nachdem die KI hart gearbeitet hat (hatte ich schon erwähnt das ich powershell hasse?)

                              ist nun die paketliste in ein einheitliches format überführt worden.
                              powershell und bash skripte laden nun diese datei und scannen dann ein im gleichen Verzeichnis befindliches lockfile.

                              https://github.com/oweitman/compromisedPackages

                              evtl auftretende fehler/probleme bitte hier oder im github melden.

                              D J 2 Replies Last reply Reply Quote 6
                              • D
                                docsnyder7 @OliverIO last edited by

                                Guten Morgen...

                                ist den npm mittlerweile wieder sicher was Updates angeht?

                                OliverIO 1 Reply Last reply Reply Quote 0
                                • J
                                  Jan1 @OliverIO last edited by Jan1

                                  @oliverio
                                  Nach dem ich die HW gewechselt und deshalb alles neu aufgesetzt hatte, war mir doch etwas unwohl und wenn ich Deinem Script vertrauen kann, dann fühle ich mich nun wieder sicherer. Vielen Dank für Deine Arbeit.

                                  jan@e2:~$ cd /opt/iobroker/
                                  jan@e2:/opt/iobroker$ bash <(curl -fsSL https://raw.githubusercontent.com/oweitman/compromisedPackages/main/compromised.sh)
                                  ⬇️  Downloading compromised package list from: https://raw.githubusercontent.com/oweitman/compromisedPackages/main/compromised-packages.txt
                                  Info: 108 non-comment lines; 108 package(s) parsed.
                                  🔍 Scanning lockfiles in /opt/iobroker (current directory only)...
                                  Info: 1 lockfile(s) found.
                                   - ./package-lock.json (555143 bytes)
                                  [Progress] 100% complete
                                  
                                  
                                  1 Reply Last reply Reply Quote 0
                                  • OliverIO
                                    OliverIO @docsnyder7 last edited by OliverIO

                                    @docsnyder7

                                    Die Leute von NPM reagieren Gott sei Dank relativ schnell. Bisher war es immer nur eine kurze Zeit bis die betroffenen Pakete entfernt worden sind.

                                    Eigentlich sollte npm audit reichen.
                                    Da kommen allerdings alle Security Probleme der Pakete raus, dass verunsichert die meisten noch mehr.

                                    D 1 Reply Last reply Reply Quote 1
                                    • D
                                      derrapf @OliverIO last edited by

                                      @oliverio sagte in Nach Angriff auf node.js: Sofortmaßnahmen erforderlich?:

                                      Eigentlich sollte npm audit reichen.
                                      Da kommen allerdings alle Security Probleme der Pakete raus, dass verunsichert die meisten noch mehr.

                                      Ja, und das heisst was für die UNIX-unbeleckten User?
                                      Was machen wir jetzt genau? Ich bin total unsicher...
                                      Gruss Ralf

                                      mcm1957 1 Reply Last reply Reply Quote 0
                                      • mcm1957
                                        mcm1957 @derrapf last edited by

                                        @derrapf

                                        Verwende zu deiner Beruhigung das oben genannte Script. Wenn da nichts gelistet wird kannst du sicher sein, dass keines der zum Zeitpunkt des letzten Script Updates bekannten schädlichen Pakete aus dem hier diskutierten Angriff installiert ist.

                                        D 1 Reply Last reply Reply Quote 0
                                        • D
                                          derrapf @mcm1957 last edited by

                                          @mcm1957
                                          Danke. Ich habe beide Scripte laufen lassen die mir GIT angezeigt hat:

                                          pi@iobroker-proxmox:~$ cd /opt/iobroker
                                          pi@iobroker-proxmox:/opt/iobroker$ bash <(curl -fsSL https://raw.githubusercontent.com/oweitman/compromisedPackages/main/compromised.sh)
                                          ⬇️  Downloading compromised package list from: https://raw.githubusercontent.com/oweitman/compromisedPackages/main/compromised-packages.txt
                                          Info: 108 non-comment lines; 108 package(s) parsed.
                                          🔍 Scanning lockfiles in /opt/iobroker (current directory only)...
                                          Info: 1 lockfile(s) found.
                                           - ./package-lock.json (1576118 bytes)
                                          [Progress] 100% complete
                                          ✅ No compromised packages found in lockfiles.
                                          pi@iobroker-proxmox:/opt/iobroker$ bash <(wget -qO- https://raw.githubusercontent.com/oweitman/compromisedPackages/main/compromised.sh)
                                          ⬇️  Downloading compromised package list from: https://raw.githubusercontent.com/oweitman/compromisedPackages/main/compromised-packages.txt
                                          Info: 108 non-comment lines; 108 package(s) parsed.
                                          🔍 Scanning lockfiles in /opt/iobroker (current directory only)...
                                          Info: 1 lockfile(s) found.
                                           - ./package-lock.json (1576118 bytes)
                                          [Progress] 100% complete
                                          ✅ No compromised packages found in lockfiles.
                                          pi@iobroker-proxmox:/opt/iobroker$
                                          
                                          

                                          Das beruhigt.
                                          Das heisst ich kann jetzt wieder bedenkenlos updaten, richtig?

                                          Gruss Ralf

                                          mcm1957 1 Reply Last reply Reply Quote 0
                                          • mcm1957
                                            mcm1957 @derrapf last edited by mcm1957

                                            @derrapf

                                            Was diesen Angriff betrifft würde ich sagen ja.
                                            Aber welche Bösewichter heute oder morgen wieder ihr Unwesen trieben wird die niemand sagen können.

                                            100% sicher bist du nur ohne Internet, ohne Strom, ohne Funk - und das nur gegen Gefahren aus dem Internet.... 🙂

                                            Persönlich schlaf ich wegen Viren und Würmern schon lange nicht mehr schlecht. Im Gegenteil - vereinzelte Phisingmails amüsieren mich eher, z.b. letzens eine die explizit mitgeteilt hat dass mir im Falle eines Ansprechens des Virenscanners keine Gedanken machen soll, die Mail stammt gerantiert aus eine unseriösen Quelle 🙂

                                            D 1 Reply Last reply Reply Quote 1
                                            • First post
                                              Last post

                                            Support us

                                            ioBroker
                                            Community Adapters
                                            Donate
                                            FAQ Cloud / IOT
                                            HowTo: Node.js-Update
                                            HowTo: Backup/Restore
                                            Downloads
                                            BLOG

                                            1.0k
                                            Online

                                            32.3k
                                            Users

                                            81.0k
                                            Topics

                                            1.3m
                                            Posts

                                            18
                                            84
                                            4353
                                            Loading More Posts
                                            • Oldest to Newest
                                            • Newest to Oldest
                                            • Most Votes
                                            Reply
                                            • Reply as topic
                                            Log in to reply
                                            Community
                                            Impressum | Datenschutz-Bestimmungen | Nutzungsbedingungen
                                            The ioBroker Community 2014-2023
                                            logo