Die Problematik mit NPM ist nun schon bald eine Dekade lang bekannt.
https://www.davidhaney.io/npm-left-pad-have-we-forgotten-how-to-program/
Dass da nicht viel häufiger viel größere Katastrophen geschehen ist das, worüber man schreiben sollte. Nicht, dass wieder mal ein Paket kompromittiert wurde.
Ich freue mich ja immer über jeden Konzern, der Profit mit Open Source macht, ohne etwas zurückzugeben, und dann von so was mit Anlauf in den Pöter penetriert wird.
Gerade wegen Paketen, für die man normaler Weise noch nicht mal ’ne Funktion schreiben würde.
So Pakete die eine Funktion bereitstellen, die man in einer if-Abfrage benutzen kann, um
(n % 2) === 1nicht selbst schreiben zu müssen, und dafür 390000 Downloads pro Woche haben.Wobei mir außerdem auffällt: Von NPM und PyPI kennt man dieses Problem, vermutlich ist auch Go anfällig (weil externe Pakete dort grundsätzlich per GitHub oder so reinkommen). In anderen Ökosystemen (ich nutze derzeit wieder viel Common Lisp, aber bei Rust ist es mir auch noch nie begegnet) scheint es entweder keine Malware zu geben oder die Abwehrmechanismen sind besser.
Seit wann kann man tarnkappe.info nurnoch ohne Adblocker besuchen?
Jedenfalls, es handelt sich wohl um ein Stück Code, was Crypto Bezahlvorgänge abfangen soll um die Ziel Adresse mit einer anderen auszutauschen die dem Angreifer gehört und der eigentlichen Zieladresse am nächsten kommt damit es nicht auffällt (nach Levenshtein Entfernung), siehe hier.
Hier die Liste mit den betroffenen Paketen, dürfte wohl eine ganze Menge Builds betreffen:
- ansi-regex@6.2.1
- ansi-styles@6.2.2
- backslash@0.2.1
- chalk@5.6.1
- chalk-template@1.1.1
- color-convert@3.1.1
- color-name@2.0.1
- color-string@2.1.1
- debug@4.4.2
- error-ex@1.3.3
- has-ansi@6.0.1
- is-arrayish@0.3.3
- proto-tinker-wc@1.8.7
- supports-hyperlinks@4.1.1
- simple-swizzle@0.2.3
- slice-ansi@7.1.1
- strip-ansi@7.1.1
- supports-color@10.2.1
- supports-hyperlinks@4.1.1
- wrap-ansi@9.0.1
