Dieses Begleitthema zu https://www.blocktrainer.de/blog/supply-chain-angriff-auf-npm-paket wurde automatisch erstellt. Antworten auf dieses Thema werden unter dem Beitrag auf der Webseite eingeblendet.
Dieses Begleitthema zu https://www.blocktrainer.de/blog/supply-chain-angriff-auf-npm-paket wurde automatisch erstellt. Antworten auf dieses Thema werden unter dem Beitrag auf der Webseite eingeblendet.
3 „Gefällt mir“
Ich glaube die BitBox App ist möglicherweise betroffen. Einige betroffene NPM Module tauchen in der package-lock.json Datei auf. Diese Datei zeigt alle installierten NPM Abhängigkeiten.
Es werden folgende betroffene NPM Module installiert:
- error-ex
- color-name
- is-arrayish
- color-convert
- ansi-regex
- supports-color
- strip-ansi
- chalk
- debug
- ansi-styles
Ich weiß gerade nicht ob wirklich die komprimierten Versionen und Varianten den Weg in die BitBox App gefunden haben.
Ich hatte schon immer eine Allergie gegen dieses Ökosystem rund um Node.js und NPM. Typische Anwendungen haben häufig Hunderte bis Tausende Abhängigkeiten von verschiedenen Modulen. Dadurch schafft man eine extrem große Angriffsfläche. Ist auch nur in einem einzigen dieser Module ein kritisches Sicherheitsproblem, ist die gesamte Anwendung gefährdet.
Tja, jetzt frage ich mich, was für ein Schadcode in diesen Modulen wirklich vorhanden war und was diese NPM Module auf dem PC möglicherweise angerichtet haben. Immerhin haben Webanwendungen wie die BitBox App Schreib und Leserechte auf dem Gerät und sind nicht vollständig in der Browser Umgebung isoliert.
Dass die Transaktionen und die Wallet durch die Hardware-Wallet gesichert sind, ist gut, aber es ist nicht wirklich viel besser, wenn ich jetzt überlegen muss, ob der PC möglicherweise kompromittiert wurde und die Daten drauf nicht mehr sicher sind. Wirklich zum Kotzen.
3 „Gefällt mir“
Nope.
2 „Gefällt mir“
Darum installiere ich so gut wie nichts ohne Sandboxing.
Wenn es kein Flatpack dafür gibt dann lasse ich es meistens.
Auf dem Handy ist ja zum Glück alles gesamdboxed.
1 „Gefällt mir“
Ich bin jetzt etwas verunsichert da ich technisch auch nicht so in der Materie bin. Ich habe einen Ledger und eine Bitbox, wobei ich den Ledger nicht mehr nutze. Besteht jetzt die Gefahr, dass mein Rechner kompromitiert ist? Wie finde ich das heraus? Was kann ich ggf. dagegen tun? Währe eigentlich schön wenn Roman dazu ein ausführliches Video machen könnte.
Gruß thora
Seit gestern gibt es auch Probleme mit der Trezor App auf dem Handy. Diese nutze ich als WatchOnly Wallet und da wird nicht mehr alles angezeigt, manches dafür doppelt. Könnte ja vielleicht auch damit zusammen hängen.
Evtl. Sandboxing mit QubesOS überlegen. Ich benutze für ganz viele Dinge DisposableVM’s
Ich weiß, da geht manches bisschen zäher, aber der Sicherheitsgewinn ist mir wichtiger.
Nicht alles, was in der package-lock auftaucht ist Bestandteil der eigentlichen App, die am Ende von Nutzern installiert wird. In diesem Fall werden die Pakete für Entwickler-Tests verwendet, z.B. um Farben im Terminal zu steuern, und hängen nicht mit dem Build der App zusammen.
Die BitBoxApp und BitBox02 sind von dieser Schwachstelle nicht betroffen. Siehe auch: https://x.com/BitBoxSwiss/status/1965188452473041253
Unabhängig von dieser Schwachstelle sollten Transaktionsdetails und Adressen aber immer sorgfältig auf dem Display der BitBox geprüft werden. Dann ist man vor solchen Angriffen sicher. Denn auch wenn die BitBoxApp hier nicht betroffen ist, bleibt natürlich die technische Möglichkeit eines solchen Angriffes grundsätzlich bestehen. Genau dafür verwendet man schließlich eine Hardware-Wallet.
Die BitBoxApp verwendet übrigens die Qt Webengine und läuft damit standardmäßig auch in einer vergleichbaren Sandbox wie ein Chromium-Browser.
Und wie bereits erwähnt sind die betroffenen NPM-Pakete nicht in der BitBoxApp enthalten. Du musst dir in der Hinsicht also keine Sorgen machen – wobei es natürlich an anderer Stelle zu einer Kompromittierung kommen konnte.
Eine detaillierte Erklärung inkl. Quellcode, was die Malware konkret macht, gibt es hier:
4 „Gefällt mir“
Sind Softwarewallets wie Relai oder Coinfinity betroffen?
1 „Gefällt mir“
es gibt nichts über ein airgapped system. wer auf Nummer sicher egehn will
Wenn ich das richtig sehe, ist dieser Angriff relativ oberflächlich. Der verlinkten Seite zufolge findet der Angriff nicht im Betriebssystem statt. Es werden lediglich die Bereiche „window“, „fetch“ und „XMLHttpRequest“ angegriffen. Diese sind zwar essenziell und kritisch, werden aber in der Regel nur innerhalb einer Grafischen Oberfläche, wie einer Website, verwendet. Programme, die unsichtbar im Hintergrund laufen (z.B. Server-Anwendungen), werden in der Regel nicht betroffen sein. Es hängt ein bisschen davon ab, wie sehr Programme, die diese komprimierten Erweiterungen verwenden, die eigene Umgebung verändern bzw. erweitern.
Der Angriff geht wohl in zwei Richtungen:
Zum einen wird versucht empfangene Adressen auszutauschen. Das betrifft wohl Bitcoin (BTC), Ethereum (ETH), Solana (SOL), Tron (TRX), Litecoin (LTC), und Bitcoin Cash (BCH). Wobei auch andere Altcoins betroffen sein könnten, wenn deren Adressen durch dasselbe Verfahren aufgebaut werden.
Zum anderen wird wohl nach Wallets gesucht, die ganz bestimmten Code verwenden. Dort wird dann der Code so manipuliert, dass Adressen ausgetauscht werden, die vom User proaktiv verwendet werden, um Transaktionen auszuführen.
Uff, das ist natürlich genau das, was man nicht so gerne liest. Zum Glück scheint es so, dass man auch als reiner Anwender eine Möglichkeit hat, nicht zum Geschädigten zu werden. Zumindest solange man strikt den Handlungsempfehlungen folgt. Trotzdem bleibt ein flaues Gefühl.
Ich atme ja jetzt schon immer beim Konsolidieren auf. 
Naja und wirklich jede einzelne Stelle der Empfängeradresse habe ich bisher auch nicht zwischen Wallet und App verglichen.
Ich habe gerade eine Antwort von Coinfinity dazu erhalten…
Nicht betroffen!
Hallo ,
danke für deine Nachricht.
Wir verstehen deine Besorgnis, ich kann dich aber beruhigen.
Das ist die Antwort unseres Entwickler-Teams darauf. •
Coinfinity App: ist nicht betroffen.
Dieser Angriff zielte auf JavaScript Software Bibliotheken ab, und konnte folglich nur Software betreffen, die in JavaScript programmiert ist. Unsere App verwendet nicht JavaScript.
• Coinfinity Portal: ist ebenfalls nicht betroffen, Web-Applikationen sind zwar prinzipiell immer mit JavaScript gebaut, aber wir haben verifiziert und können zu 100% sicher sagen, dass bei uns zu keinem Zeitpunkt diese mit malware-versehenen Bibliotheks-Versionen verwendet wurden.
Es ist also nicht notwendig Sparpläne zu stoppen.
Wenn du noch Fragen hast, bitte gerne melden.
Mit herzlichen Grüßen
Hier auf X auch nochmal…
4 „Gefällt mir“
Ok, danke. Das ist wirklich beruhigend.
Du meinst, durch andere Webanwendungen, die diese Module nutzen könnten?
Ich verzichte bewusst auf solche Webanwendungen. Die wenigen Anwendungen, die NPM Pakete nutzen, habe ich in Docker Containern isoliert. Die BitBox App ist als grafische Anwendung die Ausnahme. Wobei ich gerade überlege, ob irgendeine Anwendung aus den Debian Repos NPM Module nutzt.
Wie sieht es mit aktuellen Trezor Hardware-Wallets aus? Sind die auch gefährdet? Habe auf der Trezor-Homepage nichts gefunden.
Gruß,
rxcom1
Hier noch eine gute Quelle zu diesem Problem:
OK, Danke! 
Das mit Trezor kann ich NICHT bestätigen.
Ich nutze die Trezor App nur für WatchOnly und seit gestern fehlen dort manche Accounts und andere sind Doppelt. Bei jedem Start der App wird ein anderer Betrag an BTC angezeigt. Das Verhalten ist nicht nur bei mir zu beobachten, sondern auch auf dem Handy meiner Frau.
Also irgendwas ist da auf jeden Fall zu sehen.
Irgendwann wird es ja wohl ein Art Liste geben.
Ich nutze z.B. noch die Blue & die Green (Blockstream) Wallet.