𝗔𝗰𝗵𝘁𝘂𝗻𝗴! 𝗗𝗶𝗲𝘀 𝗶𝘀𝘁 𝗞𝗘𝗜𝗡𝗘 𝗨̈𝗕𝗨𝗡𝗚!
Die beliebte Javascribt Bibliothek node.js wurde kompromittiert – mit weitreichenden Folgen für moderne Internet-Anwendungen.
Durch einen lang vorbereiteten und professionell durchgeführten Angriff auf die Lieferkette (npm Paketmanager) für node.js konnte Schadcode eingeschleust werden. Betroffen sind ca. 20 Pakete des Entwicklers qix, die in Summe mehr als zwei Milliarden mal pro Woche (!) heruntergeladen werden. Auch Pakete anderer Entwickler können betroffen sein (Link: https://www.heise.de/news/Grosser-Angriff-auf-node-js-10637088.html).
Das Ziel des Angriffs: Kryptodiebstahl. Die betroffenen Komponenten überwachen Kryptotransaktionen oder Wallet-Zugriffe von Endbenutzern im Browser und leiten diese auf andere Wallets um (kurz gesagt).
D.h. diese Sicherheitslücke betrifft unmittelbar Ihre Kunden! Und für die entstehenden Schäden können Sie als Betreiber haftbar gemacht werden.
Sie sollten daher dringend identifizieren, ob die betroffenen Pakete in Ihrer Software-BOM enthalten sind und überprüfen, ob ein Hotfix eingespielt werden kann (hier der Link: https://www.aikido.dev/blog/npm-debug-and-chalk-packages-compromised).
Auch große Anbieter, wie Netflix, Uber, LinkedIn, AirBnb oder Paypal setzen node.js ein, daher kann sich dieses Thema schnell auch zu einem globalen Problem entwickeln.
Auf jeden Fall sollten Sie – betroffen oder nicht – diesen Vorfall ernst nehmen, Ihre Software-Lieferkette im Blick haben und den Einsatz externer Komponenten gut qualitätssichern. Wenn Sie betroffen sind, sollten Sie umgehend reagieren!