Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software Alert!: Unbekannte infiltrieren Paketmanager npm und verseuchen Tools mit Schadcode

Entwickler, die sich jüngst die Pakete coa oder rc aus dem Repository von npm für die JavaScript-Laufzeitumgebung Node.js heruntergeladen haben, haben ihren Computer mit hoher Wahrscheinlichkeit mit Schadcode infiziert. Problematisch ist, dass beide Pakete zusammengenommen pro Woche mehr als 20 Millionen mal heruntergeladen werden.

Der Grund für die mit Schadcode präparierten Pakete ist einem Twitter-Beitrag von npm zufolge ein kompromittierter Maintainer-Account. Sie geben an, den Account mittlerweile deaktiviert zu haben.

Diese Versionen sind manipuliert​

Auf den jeweiligen Github-Seiten von coa (Command Line Parser) und rc(Configuration Loader) listen die Repository-Verantwortlichen die mit Schadcode versuchten Versionen auf:

  • coa
2.0.3, 2.0.4, 2.1.1, 2.1.3, 3.0.1, 3.1.3

  • rc
1.2.9, 1.3.9, 2.3.9

Die npm-Entwickler warnen davor, dass, wenn eins dieser Pakete installiert ist, der PC als vollständig kompromittiert angesehen werden sollte. Die Versionen coa 2.0.2 und rc 1.2.8 sind ihnen zufolge sauber. Sie warnen aber ausdrücklich davor, dass selbst nach dem Entfernen von trojanisierten Versionen immer noch von der Malware verbogene Systemeinstellungen zurückbleiben können. In so einem Fall kommt man in der Regel nicht um ein vollständiges Löschen und eine Neuinstallation des Systems nicht herum.

Trojaner-Alarm​

Sicherheitsforschern zufolge soll der in den Paketen versteckte Schadcode den Qakbot-Trojaner auf Computern installieren. Dabei handelt es sich um eine Malware, die etwa Log-in-Daten mitschneiden kann.

Die Betreiber des Paketmanagers raten allen Maintainern, ihre Accounts zusätzlich über Zwei-Faktor-Authentifizierung (2FA) abzusichern. Ist diese Sicherheitsfunktion aktiv, benötigt man zum Einloggen neben dem korrekten Kennwort noch einen Extra-Code, den man sich beispielsweise auf ein Smartphone schicken lassen kann. Ist nun ein Angreifer im Besitz des Kennworts, kann er sich ohne den zweiten Faktor zu kennen nicht einloggen.
Quelle: heise
 
Zurück
Oben