Entwickler, die sich jüngst die Pakete coa oder rc aus dem Repository von npm für die JavaScript-Laufzeitumgebung Node.js heruntergeladen haben, haben ihren Computer mit hoher Wahrscheinlichkeit mit Schadcode infiziert. Problematisch ist, dass beide Pakete zusammengenommen pro Woche mehr als 20 Millionen mal heruntergeladen werden.
Die npm-Entwickler warnen davor, dass, wenn eins dieser Pakete installiert ist, der PC als vollständig kompromittiert angesehen werden sollte. Die Versionen coa 2.0.2 und rc 1.2.8 sind ihnen zufolge sauber. Sie warnen aber ausdrücklich davor, dass selbst nach dem Entfernen von trojanisierten Versionen immer noch von der Malware verbogene Systemeinstellungen zurückbleiben können. In so einem Fall kommt man in der Regel nicht um ein vollständiges Löschen und eine Neuinstallation des Systems nicht herum.
Die Betreiber des Paketmanagers raten allen Maintainern, ihre Accounts zusätzlich über Zwei-Faktor-Authentifizierung (2FA) abzusichern. Ist diese Sicherheitsfunktion aktiv, benötigt man zum Einloggen neben dem korrekten Kennwort noch einen Extra-Code, den man sich beispielsweise auf ein Smartphone schicken lassen kann. Ist nun ein Angreifer im Besitz des Kennworts, kann er sich ohne den zweiten Faktor zu kennen nicht einloggen.
Quelle: heise
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
ein kompromittierter Maintainer-Account. Sie geben an, den Account mittlerweile deaktiviert zu haben.Diese Versionen sind manipuliert
Auf den jeweiligen Github-Seiten vonDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
(Command Line Parser) und
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
(Configuration Loader) listen die Repository-Verantwortlichen die mit Schadcode versuchten Versionen auf:- coa
- rc
Die npm-Entwickler warnen davor, dass, wenn eins dieser Pakete installiert ist, der PC als vollständig kompromittiert angesehen werden sollte. Die Versionen coa 2.0.2 und rc 1.2.8 sind ihnen zufolge sauber. Sie warnen aber ausdrücklich davor, dass selbst nach dem Entfernen von trojanisierten Versionen immer noch von der Malware verbogene Systemeinstellungen zurückbleiben können. In so einem Fall kommt man in der Regel nicht um ein vollständiges Löschen und eine Neuinstallation des Systems nicht herum.
Trojaner-Alarm
Sicherheitsforschern zufolge soll der in den Paketen versteckte Schadcode den Qakbot-Trojaner auf Computern installieren. Dabei handelt es sich um eine Malware, die etwa Log-in-Daten mitschneiden kann.Die Betreiber des Paketmanagers raten allen Maintainern, ihre Accounts zusätzlich über Zwei-Faktor-Authentifizierung (2FA) abzusichern. Ist diese Sicherheitsfunktion aktiv, benötigt man zum Einloggen neben dem korrekten Kennwort noch einen Extra-Code, den man sich beispielsweise auf ein Smartphone schicken lassen kann. Ist nun ein Angreifer im Besitz des Kennworts, kann er sich ohne den zweiten Faktor zu kennen nicht einloggen.
Quelle: heise
