Axios kompromittiert
-
Demnach ist es einem Angreifer gelungen, den NPM-Account des Axios-Maintainers Jason Saayman zu kompromittieren und in der Nacht auf den 31. März zwei mit Schadcode verseuchte Versionen des Tools (1.14.1 und 0.30.4) zu veröffentlichen.
@MartinP Und was bedeutet das für uns?
kein Support per PN! - Fragen im Forum stellen -
Benutzt das Voting rechts unten im Beitrag wenn er euch geholfen hat.
Das Forum freut sich über eine Spende. Benutzt dazu den Spendenbutton oben rechts. Danke!
der Installationsfixer: curl -fsL https://iobroker.net/fix.sh | bash - -
Für das Gesamtprojekt nichts.
Aber falls user genau in dem Zeitraum Adapter installiert haben, die eine ungepinnte axios-Version einbinden, dann könnte es sein, dass sich dieser User da was eingefangen hat.So als erster Check:
cd /opt/iobroker npm list axios 2>/dev/null | grep -E "1\.14\.1|0\.30\.4" grep -A1 '"axios"' package-lock.json | grep -E "1\.14\.1|0\.30\.4" ls node_modules/plain-crypto-js 2>/dev/null && echo "POTENTIALLY AFFECTED" ls -la /tmp/ld.py 2>/dev/null && echo "COMPROMISED"Wenn da nichts zurückkommt, dann dürfte da Ruhe sein.
Edit: Code korrigiert. Da war Code für MacOS drin. Für Linux muss das so wie jetzt aussehen.
-
Für das Gesamtprojekt nichts.
Aber falls user genau in dem Zeitraum Adapter installiert haben, die eine ungepinnte axios-Version einbinden, dann könnte es sein, dass sich dieser User da was eingefangen hat.So als erster Check:
cd /opt/iobroker npm list axios 2>/dev/null | grep -E "1\.14\.1|0\.30\.4" grep -A1 '"axios"' package-lock.json | grep -E "1\.14\.1|0\.30\.4" ls node_modules/plain-crypto-js 2>/dev/null && echo "POTENTIALLY AFFECTED" ls -la /tmp/ld.py 2>/dev/null && echo "COMPROMISED"Wenn da nichts zurückkommt, dann dürfte da Ruhe sein.
Edit: Code korrigiert. Da war Code für MacOS drin. Für Linux muss das so wie jetzt aussehen.
@Thomas-Braun DANKE!
Ich hatte gerade mitnpm ls axiosnachgesehen und nur 1.13 un 0.26 gefunden 😓kein Support per PN! - Fragen im Forum stellen -
Benutzt das Voting rechts unten im Beitrag wenn er euch geholfen hat.
Das Forum freut sich über eine Spende. Benutzt dazu den Spendenbutton oben rechts. Danke!
der Installationsfixer: curl -fsL https://iobroker.net/fix.sh | bash - -
@Thomas-Braun DANKE!
Ich hatte gerade mitnpm ls axiosnachgesehen und nur 1.13 un 0.26 gefunden 😓Ich hatte gerade mit npm ls axios nachgesehen und nur 1.13 un 0.26 gefunden 😓
Ist doch gut. Aber nur ein Teil der Dinge, die man lt.
https://www.aikido.dev/blog/axios-npm-compromised-maintainer-hijacked-rat
checken soll. -
Ich hatte gerade mit npm ls axios nachgesehen und nur 1.13 un 0.26 gefunden 😓
Ist doch gut. Aber nur ein Teil der Dinge, die man lt.
https://www.aikido.dev/blog/axios-npm-compromised-maintainer-hijacked-rat
checken soll.zigbee hab ich, zwave auch, nuc's genauso und HA auch
-
-
@Thomas-Braun musst du durchschauen..jo das ist richtig.
zigbee hab ich, zwave auch, nuc's genauso und HA auch
-
@Thomas-Braun musst du durchschauen..jo das ist richtig.
-
Knapp vorbei .... 1.14.0 statt 1.14.1
[sudo] password for martin: iobroker.inst@3.0.0 /opt/iobroker +-- iobroker.admin@7.7.22 | `-- @iobroker/socket-classes@2.2.21 | `-- axios@1.14.0 deduped +-- iobroker.backitup@3.3.14 | `-- axios@1.14.0 +-- iobroker.email@2.0.4 | `-- axios@1.14.0 deduped +-- iobroker.ems-esp@7.0.1 | `-- axios@1.14.0 deduped +-- iobroker.fb-checkpresence@1.4.2 | `-- axios@1.14.0 deduped +-- iobroker.frigate@1.4.0 | `-- axios@1.14.0 deduped +-- iobroker.hm-rega@5.1.0 | `-- axios@1.14.0 deduped +-- iobroker.ical@1.19.7 | `-- axios@1.14.0 deduped +-- iobroker.jarvis@3.1.8 | `-- node-ical@0.16.0 | `-- axios@1.3.4 +-- iobroker.javascript@9.0.18 | `-- axios@1.14.0 deduped +-- iobroker.js-controller@7.0.7 | +-- @iobroker/js-controller-adapter@7.0.7 | | `-- @alcalzone/pak@0.8.1 | | `-- axios@0.26.1 | +-- @iobroker/js-controller-cli@7.0.7 | | `-- axios@1.14.0 deduped | +-- @iobroker/js-controller-common-db@7.0.7 | | `-- axios@1.14.0 deduped | `-- axios@1.14.0 deduped +-- iobroker.parser@3.0.0 | `-- axios@1.14.0 deduped +-- iobroker.reolink@1.2.3 | `-- axios@1.14.0 deduped `-- iobroker.vis-2@2.13.8 `-- axios@1.14.0 deduped martin@iobroker-test-sicher:/opt/iobroker$ -
Für das Gesamtprojekt nichts.
Aber falls user genau in dem Zeitraum Adapter installiert haben, die eine ungepinnte axios-Version einbinden, dann könnte es sein, dass sich dieser User da was eingefangen hat.So als erster Check:
cd /opt/iobroker npm list axios 2>/dev/null | grep -E "1\.14\.1|0\.30\.4" grep -A1 '"axios"' package-lock.json | grep -E "1\.14\.1|0\.30\.4" ls node_modules/plain-crypto-js 2>/dev/null && echo "POTENTIALLY AFFECTED" ls -la /tmp/ld.py 2>/dev/null && echo "COMPROMISED"Wenn da nichts zurückkommt, dann dürfte da Ruhe sein.
Edit: Code korrigiert. Da war Code für MacOS drin. Für Linux muss das so wie jetzt aussehen.
falls user genau in dem Zeitraum Adapter installiert haben, die eine ungepinnte axios-Version einbinden, dann könnte es sein,
Kann man eigentlich die zusätzlichen npm-Module in der Javascript Instanz auch pinnen?
Z.b. indem man eingibt modulName@1.2.3?Wie finde ich denn deren geladene Versionsnummern?
Hab jetzt auch unter /opt/iobroker versucht mit npm list modulName, da kommt nur empty.
Hey! Du scheinst an dieser Unterhaltung interessiert zu sein, hast aber noch kein Konto.
Hast du es satt, bei jedem Besuch durch die gleichen Beiträge zu scrollen? Wenn du dich für ein Konto anmeldest, kommst du immer genau dorthin zurück, wo du zuvor warst, und kannst dich über neue Antworten benachrichtigen lassen (entweder per E-Mail oder Push-Benachrichtigung). Du kannst auch Lesezeichen speichern und Beiträge positiv bewerten, um anderen Community-Mitgliedern deine Wertschätzung zu zeigen.
Mit deinem Input könnte dieser Beitrag noch besser werden 💗
Registrieren AnmeldenSupport us
581
Online32.7k
Benutzer82.6k
Themen1.3m
Beiträge