Monatsrückblick Januar/Februar 2026 ist online!

MartinP

https://www.golem.de/news/npm-pakete-laden-malware-nach-populaerer-http-client-axios-kompromittiert-2603-207094.html

Demnach ist es einem Angreifer gelungen, den NPM-Account des Axios-Maintainers Jason Saayman zu kompromittieren und in der Nacht auf den 31. März zwei mit Schadcode verseuchte Versionen des Tools (1.14.1 und 0.30.4) zu veröffentlichen.

Homoran

@MartinP Und was bedeutet das für uns?

Thomas Braun

Für das Gesamtprojekt nichts.
Aber falls user genau in dem Zeitraum Adapter installiert haben, die eine ungepinnte axios-Version einbinden, dann könnte es sein, dass sich dieser User da was eingefangen hat.

So als erster Check:

cd /opt/iobroker
npm list axios 2>/dev/null | grep -E "1\.14\.1|0\.30\.4"
grep -A1 '"axios"' package-lock.json | grep -E "1\.14\.1|0\.30\.4"
ls node_modules/plain-crypto-js 2>/dev/null && echo "POTENTIALLY AFFECTED"
ls -la /tmp/ld.py 2>/dev/null && echo "COMPROMISED"

Wenn da nichts zurückkommt, dann dürfte da Ruhe sein.

Edit: Code korrigiert. Da war Code für MacOS drin. Für Linux muss das so wie jetzt aussehen.

Homoran

@Thomas-Braun DANKE!
Ich hatte gerade mit npm ls axios nachgesehen und nur 1.13 un 0.26 gefunden 😓

Thomas Braun

@Homoran sagte:

Ich hatte gerade mit npm ls axios nachgesehen und nur 1.13 un 0.26 gefunden 😓

Ist doch gut. Aber nur ein Teil der Dinge, die man lt.
https://www.aikido.dev/blog/axios-npm-compromised-maintainer-hijacked-rat
checken soll.

arteck

@Thomas-Braun

cd /opt/iobroker
npm list axios

sollte auch tun

Thomas Braun

@arteck sagte:

sollte auch tun

Dann siehst du aber alle Versionen, auch die sicheren.

arteck

@Thomas-Braun musst du durchschauen..jo das ist richtig.

Thomas Braun

@arteck sagte:

musst du durchschauen..jo das ist richtig.

Ich bin doch ein fauler Hund. Da lass ich lieber den Kompjuter schauen. Der macht das besser als ich, wenn man die passenden Kommandos gibt jedenfalls.

MartinP

Knapp vorbei .... 1.14.0 statt 1.14.1

[sudo] password for martin: 
iobroker.inst@3.0.0 /opt/iobroker
+-- iobroker.admin@7.7.22
| `-- @iobroker/socket-classes@2.2.21
|   `-- axios@1.14.0 deduped
+-- iobroker.backitup@3.3.14
| `-- axios@1.14.0
+-- iobroker.email@2.0.4
| `-- axios@1.14.0 deduped
+-- iobroker.ems-esp@7.0.1
| `-- axios@1.14.0 deduped
+-- iobroker.fb-checkpresence@1.4.2
| `-- axios@1.14.0 deduped
+-- iobroker.frigate@1.4.0
| `-- axios@1.14.0 deduped
+-- iobroker.hm-rega@5.1.0
| `-- axios@1.14.0 deduped
+-- iobroker.ical@1.19.7
| `-- axios@1.14.0 deduped
+-- iobroker.jarvis@3.1.8
| `-- node-ical@0.16.0
|   `-- axios@1.3.4
+-- iobroker.javascript@9.0.18
| `-- axios@1.14.0 deduped
+-- iobroker.js-controller@7.0.7
| +-- @iobroker/js-controller-adapter@7.0.7
| | `-- @alcalzone/pak@0.8.1
| |   `-- axios@0.26.1
| +-- @iobroker/js-controller-cli@7.0.7
| | `-- axios@1.14.0 deduped
| +-- @iobroker/js-controller-common-db@7.0.7
| | `-- axios@1.14.0 deduped
| `-- axios@1.14.0 deduped
+-- iobroker.parser@3.0.0
| `-- axios@1.14.0 deduped
+-- iobroker.reolink@1.2.3
| `-- axios@1.14.0 deduped
`-- iobroker.vis-2@2.13.8
  `-- axios@1.14.0 deduped

martin@iobroker-test-sicher:/opt/iobroker$ 

Homoran

@Thomas-Braun sagte:

falls user genau in dem Zeitraum Adapter installiert haben, die eine ungepinnte axios-Version einbinden, dann könnte es sein,

Kann man eigentlich die zusätzlichen npm-Module in der Javascript Instanz auch pinnen?
Z.b. indem man eingibt modulName@1.2.3?

Wie finde ich denn deren geladene Versionsnummern?
Hab jetzt auch unter /opt/iobroker versucht mit npm list modulName, da kommt nur empty.