Vor neuen Angriffen auf das npm-Ökosystem (Node Package Manager) rund um node.js warnen verschiedene IT-Sicherheitsunternehmen. Mit einer Malware sollen mehrere Dutzend Pakete (mindestens 40, in einem Bericht sogar an die 150) infiziert sein, die geheime Daten stiehlt und über einen Webhook ausleitet. Die Schadsoftware repliziert sich zudem.

Unbekannte Angreifer haben erst vor kurzem die Zugangsdaten eines prominenten Entwicklers abgephisht und manipulierte Pakete eingeschleust. Jetzt hat die Verteilstation für node.js-Bibliotheken mit einem Wurm zu kämpfen.

Unter den kompromittierten Paketen befindet sich laut StepSecurity und Socket auch @ctrl/tinycolor, das etwa zwei Millionen Mal pro Woche heruntergeladen wird. Betroffen sind auch etwa ein Dutzend weitere Pakete des Entwicklers @ctrl, einige der Nativescript-Community und wie Aikido auflistet, sogar solche des Security-Unternehmens Crowdstrike.

Verwalter von auf npm gehosteten Paketen und JavaScript-Entwickler sollten größte Vorsicht walten lassen und die umfangreiche Liste infizierter Pakete konsultieren. Betroffene sollten infizierte Versionen unmittelbar löschen, alle Zugangsdaten ändern, Tokens invalidieren und in eigenen GitHub-Repositories aufräumen. Detaillierte Hilfestellung gibt es im Blogeintrag von StepSecuritys.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE