• IT-Karriere:
  • Services:

event-stream: Populäres NPM-Paket verteilt Schadsoftware

Ein Entwickler des Javascript-Pakets event-stream interessierte sich nicht mehr für das Projekt und übergab die Entwicklung an eine unbekannte andere Person. Daraufhin wurde über das Modul Schadsoftware verteilt, die offenbar auf Bitcoin-Wallets abzielt.

Artikel veröffentlicht am , Hanno Böck
So viele Abhängigkeiten, dass niemand mehr den Überblick haben kann: Das ist bei NPM leider üblich.
So viele Abhängigkeiten, dass niemand mehr den Überblick haben kann: Das ist bei NPM leider üblich. (Bild: Graphcommons/NPM Dependency Network)

Ein mit Schadsoftware versehenes Javascript-Paket zielt darauf ab, Nutzer der Bitcoin-Wallet-Software Copay zu bestehlen. Der Entwickler von event-stream hatte das Interesse an dem Paket verloren und die Kontrolle an eine unbekannte Person weitergegeben.

Stellenmarkt
  1. DENIC Services GmbH & Co. KG, Darmstadt
  2. finanzen.de, Berlin

Die Javascript-Bibliothek event-stream kann über die Paketverwaltung NPM genutzt werden. Ein Nutzer der Bibliothek hatte festgestellt, dass das Paket an einen neuen Maintainer übergeben wurde und dieser eine verdächtige neue Abhängigkeit eingefügt hatte. Nachzuvollziehen ist das in einer Diskussion im Github-Bugtracker. Das Paket event-stream wird laut NPM knapp 2 Millionen Mal pro Woche heruntergeladen.

Demnach wurde das Paket von einem Entwickler mit dem Pseudonym Right9ctrl übernommen. Dieser fügte kurz darauf in einer neuen Version (3.3.6) von event-stream eine Abhängigkeit zu einem Paket namens flatmap-stream hinzu. Dieses Paket wiederum enthielt minimalisierten Javascript-Code, der nicht mit dem eigentlichen Code des Pakets übereinstimmte. In diesem minimalisierten Javascript fand sich der eigentliche Schadcode.

Entwickler hat Interesse am Paket verloren

Kurz darauf wurde eine neue Version 4.0.0 von event-stream veröffentlicht, die wiederum die Schadcode-Abhängigkeit nicht enthielt, offenbar um seine Spuren zu verwischen. Diese Situation führte dazu, dass alle Nutzer von event-stream, welche für ihre Pakete die Version 3 nutzten, die Schadsoftware einbanden.

Der ursprüngliche Entwickler von event-stream, Dominic Tarr, erklärte, dass er das Modul schon seit Jahren nicht mehr genutzt hatte. Der Nutzer Right9Ctrl habe ihm gemailt und angeboten, das Betreuen des Moduls zu übernehmen.

In der weiteren Diskussion analysierten einige Nutzer, was der Schadcode konkret tat. Aktiv wurde dieser nur, wenn er in einem Paket eingebunden war, das zur App Copay gehörte. Copay wiederum ist eine Software zur Verwaltung von Bitcoin-Wallets. Die Schadsoftware versuchte demnach, die privaten Schlüssel der Bitcoin-Nutzer zu klauen und schickte diese an den Server des Angreifers.

Der Hersteller der Copay-Software hat inzwischen eine Stellungnahme veröffentlicht. Demnach waren alle Versionen von 5.0.2 bis 5.1.0 von der Schadsoftware befallen. Nutzer, die diese installiert haben, sollten diese auf keinen Fall öffnen und auch davon ausgehen, dass ihre Keys bereits kompromittiert sind. Die Copay-Entwickler empfehlen, sofort ein Update auf die jüngste Version 5.2.0 durchzuführen und anschließend alle Bitcoins in ein neues Wallet zu transferieren.

Der ursprüngliche Autor von event-stream, Dominic Tarr, hat inzwischen eine Stellungnahme veröffentlicht. Er beschreibt darin die schwierige Situation, die Verantwortung für eine Software zu haben, für die er sich nicht mehr interessiert. Das Übergeben an andere Maintainer sei in der Community nicht unüblich. Für das konkrete Paket haben nun zwei andere, vertrauenswürdige Entwickler die Betreuung übernommen.

Probleme mit Abhängigkeiten in der NPM-Paketverwaltung gab es schon häufiger. Im Jahr 2016 entfernte ein Entwickler aus Verärgerung über einen Streit mit den NPM-Betreibern Hunderte seiner Pakete, darunter das besonders populäre left-pad, welches von Millionen anderer Pakete genutzt wurde. Im Juni dieses Jahres wurde Schadsoftware im Paket eslint-scope gefunden, der Account des Maintainers war gehackt worden.

Über tausend Abhängigkeiten keine Seltenheit in NPM

Im August 2017 wurden zahlreiche sogenannte Typosquatting-Pakete in NPM gefunden. Dabei versuchten Angreifer, Pakete mit Namen hochzuladen, die bestehenden, populären Paketen sehr ähnlich sind. Ähnliche Angriffe gab es auch mehrfach in der Python-Paketverwaltung PyPi.

Ein generelles Problem bei NPM ist, dass die Pakete oft extrem viele Abhängigkeiten haben. So weist auf Twitter ein Entwickler darauf hin, dass das von Facebook entwickelte Paket create-react-app insgesamt 1.770 indirekte Abhängigkeiten hat. Diese vielen Mikro-Abhängigkeiten sind natürlich ein enormes Sicherheitsrisiko.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Deadpool, Logan - The Wolverine, James Bond - Spectre, Titanic 3D)
  2. 379,00€ (Vergleichspreis ab 478,07€)
  3. (aktuell u. a. Xiaomi Mi 9 128 GB Ocean Blue für 369,00€ und Deepcool Matrexx 55 V3 Tower...
  4. 90,99€ (Bestpreis)

kaklaka 30. Nov 2018

Schießt das nicht am Thema vorbei? Als Entwickler werde ich auch mit Web Assembly...

Allandor 29. Nov 2018

Das trifft auch aif javascript zu. Warum aus der Vergangenheit lernen wenn man alle...

magnolia 28. Nov 2018

Uh, richtig! @Neuro-Chef: Danke! (-:

zZz 28. Nov 2018

Ob man jetzt danach googelt oder npm install ausführt dürfte, ist doch der gleiche...

basti1253 28. Nov 2018

Ahnungsloses Gebrabbel voller Polemik und Häme. Keinen Paketmanager zu verwenden ist dem...


Folgen Sie uns
       


Amazons FireTV Cube mit Sprachsteuerung - Test

Der Fire TV Cube ist mehr als ein Fire-TV-Modell. Er kann auf Zuruf gesteuert werden und wir zeigen im Video, wie gut das gelöst ist.

Amazons FireTV Cube mit Sprachsteuerung - Test Video aufrufen
Amazon, Netflix und Sky: Disney bringt 2020 den großen Umbruch beim Videostreaming
Amazon, Netflix und Sky
Disney bringt 2020 den großen Umbruch beim Videostreaming

In diesem Jahr wird sich der Video-Streaming-Markt in Deutschland stark verändern. Der Start von Disney+ setzt Netflix, Amazon und Sky gehörig unter Druck. Die ganz großen Umwälzungen geschehen vorerst aber woanders.
Eine Analyse von Ingo Pakalski

  1. Peacock NBC Universal setzt gegen Netflix auf Gratis-Streaming
  2. Joyn Plus+ Probleme bei der Kündigung
  3. Android TV Magenta-TV-Stick mit USB-Anschluss vergünstigt erhältlich

Elektroautos in Tiefgaragen: Was tun, wenn's brennt?
Elektroautos in Tiefgaragen
Was tun, wenn's brennt?

Was kann passieren, wenn Elektroautos in einer Tiefgarage brennen? Während Brandschutzexperten dringend mehr Forschung fordern und ein Parkverbot nicht ausschließen, wollen die Bundesländer die Garagenverordnung verschärfen.
Eine Analyse von Friedhelm Greis

  1. Mercedes E-Econic Daimler elektrifiziert den Müllwagen
  2. Umweltprämie für Elektroautos Regierung verzögert Prüfung durch EU-Kommission
  3. Intransparente Preise Verbraucherschützer mahnen Ladenetzbetreiber New Motion ab

Digitalisierung: Aber das Faxgerät muss bleiben!
Digitalisierung
Aber das Faxgerät muss bleiben!

"Auf digitale Prozesse umstellen" ist leicht gesagt, aber in vielen Firmen ein komplexes Unterfangen. Viele Mitarbeiter und Chefs lieben ihre analogen Arbeitsmethoden und fürchten Veränderungen. Andere wiederum digitalisieren ohne Sinn und Verstand und blasen ihre Prozesse unnötig auf.
Ein Erfahrungsbericht von Marvin Engel

  1. Arbeitswelt SAP-Chef kritisiert fehlende Digitalisierung und Angst
  2. Deutscher Städte- und Gemeindebund "Raus aus der analogen Komfortzone"
  3. Digitalisierungs-Tarifvertrag Regelungen für Erreichbarkeit, Homeoffice und KI kommen

    •  /