this post was submitted on 17 Sep 2025
20 points (100.0% liked)

EDV-Sicherheit

289 readers
2 users here now

EDV-Sicherheit ist IT Security auf Deutsch. Posts können in Deutsch und Englisch erstellt werden.

Wikipedia: "Informationssicherheit ist ein Zustand von technischen oder nicht-technischen Systemen zur Informationsverarbeitung, -speicherung und -lagerung, der die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen soll. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken. "

Verwandte Communities:

Netiquette wird vorausgesetzt. Gepflegt wird ein respektvoller Umgang - ohne Hass, Hetze, Diskriminierung.

Bitte beachtet die Regeln von Feddit.org.

Attribution

  • Das Banner zeigt ein von marv99 mit Image Creator erzeugtes Bild zum Prompt "How could a security issue look like as a picture?"

  • Das Icon zeigt ein von marv99 mit Le Chat erzeugtes Bild eines Vorhängeschlosses.

founded 1 year ago
MODERATORS
marv99@feddit.org
20
Neuer npm-Großangriff: Selbst-vermehrende Malware infiziert Dutzende Pakete (www.heise.de)
submitted 2 days ago by schnurrito@discuss.tchncs.de to c/edv_sicherheit@feddit.org
3 comments fedilink hide all child comments
you are viewing a single comment's thread
view the rest of the comments
[–] Ephera@lemmy.ml 2 points 1 day ago* (last edited 1 day ago) (2 children)

Und er hat offenbar die Fähigkeit, sich selbst zu replizieren, indem er weitere Pakete infiziert und trojanisierte Paketversionen hochlädt.

Das ist schon krass. Wenn du selbst eine Bibliothek entwickelst, hast du natürlich die Credentials eingerichtet, um neue Versionen zu veröffentlichen, und das Veröffentlichen will man eigentlich auch leicht automatisieren können, also würde mich nicht wundern, wenn das bei NPM mit einem Befehl getan ist.

Im Grunde ist der schwierigste Teil, den Code der Ziel-Bibliothek so zu verändern, dass Schadcode ausgeführt wird, aber wahrscheinlich kann man das irgendwo an den Anfang der Main-Funktion packen.
Und spätestens mit LLMs lässt sich sowas wahrscheinlich auch in komplexeren Fällen lösen. Da ist es ja auch egal, wenn es nur in 80% der Fällen das Paket erfolgreich kompromittiert.

[–] NotAnonymousAtAll@feddit.org 2 points 1 day ago* (last edited 1 day ago) (1 children)

Das ist zwar nicht meine Umgebung, aber es erscheint mir unwahrscheinlich, dass ein signifikanter Anteil der npm-packages eine Main-Funktion hat. Das sollten doch überwiegend libraries sein und keine executables.

[–] Ephera@lemmy.ml 2 points 1 day ago

Ah, stimmt, das ist natürlich Quatsch. Anscheinend führt JavaScript aber den Modul-Code aus, wenn man ein Modul importiert, also vermutlich kann man den Code einfach unten an die index.js anfügen.