event-stream, Copay, Bitpay: Das Drama geht weiter

event-stream: Details zum Angriff & Liste betroffener VS Code Extensions veröffentlicht // Update: Auch Nutzer vom Vue CLI betroffen?
Keine Kommentare

Das JavaScript-Package event-stream wurde mit Malware infiziert, die Bitcoins aus Copay-Wallets stehlen sollte. Das beliebte Package hat offenbar zwei Monate lang zahlreiche weiterer Projekte infiziert. Welche VS Code Extensions sind betroffen?

//Update am Ende der Meldung//

Das brisante am event-stream-Vorfall ist nicht, dass ein npm-Package mit Schadsoftware infiziert wurde. Das kann vorkommen. Viel schlimmer ist, dass das bereits im September geschah, die ersten Meldungen aber in der vergangenen Woche eingingen. Ebenfalls problematisch: Der Angriff könnte erfolgreich gewesen sein – darüber haben wir gestern berichtet. Unabhängig von der Frage nach gestohlenen Bitcoins zeigt sich heute aber vor allem, dass es sich um einen branchenweiten Vorfall handelt, der sich weit über npm und event-stream hinaus verbreiten konnte.

event-stream & Copay: Die Analyse von npm

Bislang fand die Diskussion rund um event-stream und den Angriff vor allem auf GitHub, Twitter und Reddit statt. Nun hat npm das Package analysiert und einen Bericht veröffentlicht. Wie npm berichtet, habe der eingeschleuste Code keinen Effekt auf die meisten Entwickler und ihre Projekte, sondern sei spezifisch auf die App Copay ausgerichtet gewesen. Im npm-Blog wird erläutert, dass im Zuge des Releaseprozesses von Copay eine Modifikation am Code vorgenommen werde – jedes Mal.

Der Schadcode sei darauf ausgerichtet gewesen, nur Wallets anzugreifen, die mehr als 100 Bitcoins oder 1000 Bitcoin Cash enthalten; dies war gestern noch nicht ersichtlich. Bei diesen Accounts sollte die dann allerdings Malware nicht nur Private Keys stehlen, sondern auch alle weiteren Daten des Accounts. npm wertet den Angriffsweg als Social-Engineering-Attacke, da der Angreifer sich als Maintainer ausgegeben habe und so Zugriff auf event-stream erlangte. Wie bereits gestern auf GitHub diskutiert, war der GitHub-Account, der den Code einschleuste, jedoch zuvor quasi nicht genutzt worden. Verschiedene GitHub-Nutzer geben an, dass sie Misstrauen für angebracht gehalten hätten.

npm hat außerdem die technischen Details des Schadcodes veröffentlicht, die im Report nachzulesen sind. npm audit umfasst nun auch eine Suche nach dem in event-stream eingeschleusten Schadcode. Betroffen sei event-stream@3.3.6; aus der npm-Analyse geht hervor, dass neuer Versionen nicht betroffen seien. npm empfiehlt betroffenen Nutzern, auf eine neuere Version zu aktualisieren. Dabei ist, wie dem inzwischen archivierten GitHub-Repository zu entnehmen ist, jedoch zu beachten, dass auch die neueren Versionen vom selben GitHub-Nutzer veröffentlicht wurden wie die betroffene Version. flatmap-stream, das Package, über das der Schadcode eingeschleust wurde, ist jedoch nicht mehr in den Dependencies von event-stream aufgelistet.

Betroffene Visual Studio Code Extensions

Da event-stream zuletzt etwa zwei Millionen Mal pro Woche via npm heruntergeladen wurde, beschränkt sich der Schaden aber nicht auf das Package selbst. Projekte, die die betroffene Version von event-stream als Dependency verwendet haben, können den Code ebenfalls enthalten. Vor allem aufgrund der langen Zeit seit Einschleusen des Codes können zahlreiche Projekte betroffen sein. Darum hat Microsoft nun einen Scan des VS Code Marketplace durchgeführt. Folgende Extensions wurden vom Team von Visual Studio Code als infiziert benannt:

aoisupersix.bve5-language-support
ardenivanov.svelte-intellisense
ballerina.ballerina
BattleBas.kivy-vscode
christianvoigt.argdown-vscode
codemooseus.vscode-devtools-for-chrome
curlybracket.vlocode
ivory-lab.jenkinsfile-support
JacobeanResearchandDevelopmentLLC.vscode-scxml-preview
joe-re.sql-language-server
jomiller.rtags-client
KazuoCode.gthubsum
Koihik.vscode-lua-format
myxvisual.vscode-ts-uml
OptimaSystems.vscode-apl-language-client
Paul-Ehigie-Paul.nativescript-extend
quantum.quantum-devkit-vscode
rkoubou.ksp
roboceo.robojsx-plugin
salbert.comment-ts
tintrinh.php-refactor
tomoki1207.pdf
vlopes11.advpls-client
webhint.vscode-webhint
wix.stylable-intelligence
zfzackfrost.commentbars
Zowe.vscode-extension-for-zowe
tboevil.webpaste
matepek.vscode-catch2-test-adapter
Fr43nk.seito-openfile

Die betroffenen Extensions wurden aus dem Marketplace entfernt und werden auch bei Nutzern automatisch deinstalliert. Das VS-Code-Team benachrichtigt die betroffenen Extension-Autoren und listet bereits vom Schadcode befreite Packages in der entsprechenden News im VS Code Blog auf. Auch auf Azure DevOps werden Nutzer informiert, deren Code die Schadsoftware enthält. Darüber hinaus wurden flatmap-stream und event-stream in Versionen höher als 3.3.4 auf Azure DevOps blockiert. Diese Packages können als keinen Projekten mehr hinzugefügt werden, wie im entsprechenden Post erklärt wurde.

Update: Auch Vue CLI betroffen?

Wie inzwischen im Rahmen des offiziellen Vue.js-Newsletters #121 bekannt gegeben wurde, besteht die Möglichkeit, dass auch über das Vue CLI eine Installation des ursächlichen Packages flatmap-stream per Dependencies vorgenommen wurde. Um sicherzustellen, dass das Vue CLI selbst frei von der Malware ist, empfiehlt Vue Core-Entwickler Guillaume Chau eine Deinstallation und Neuinstallation des CLI mit folgenden Befehlen:

Yarn:

yarn global remove @vue/cli
yarn global add @vue/cli

npm:

npm uninstall -g @vue/cli
npm install -g @vue/cli

Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -