{"id":3584,"date":"2024-01-26T18:12:16","date_gmt":"2024-01-26T18:12:16","guid":{"rendered":"https:\/\/byte-bucket.com\/2024\/01\/26\/sicherheitsexperte-entdeckt-filmclips-in-npm-paketen-entwickler-sollten-auf-drittanbieterpakete-achten\/"},"modified":"2024-01-26T18:12:16","modified_gmt":"2024-01-26T18:12:16","slug":"sicherheitsexperte-entdeckt-filmclips-in-npm-paketen-entwickler-sollten-auf-drittanbieterpakete-achten","status":"publish","type":"post","link":"https:\/\/byte-bucket.com\/?p=3584","title":{"rendered":"Sicherheitsexperte entdeckt Filmclips in npm-Paketen &#8211; Entwickler sollten auf Drittanbieterpakete achten"},"content":{"rendered":"<p>Sonatype, ein Unternehmen, das sich auf DevSec-Ops spezialisiert hat, hat k\u00fcrzlich in 748 Paketen des JavaScript-Paketmanagers npm eine unerwartete Entdeckung gemacht: Filmclips. Es ist bislang unklar, warum der Benutzer mit dem Namen wlwz diese Clips als separate Pakete auf npm hochgeladen hat. Jedes Paket hat eine Gr\u00f6\u00dfe von ungef\u00e4hr 54 MByte und enth\u00e4lt zehn .ts-Dateien. Normalerweise wird die Dateiendung .ts im Paketmanager verwendet, um auf TypeScript-Code hinzuweisen, eine Erweiterung von JavaScript. In diesem Fall handelt es sich jedoch um Videodateien im Format des Transport-Streams.<\/p>\n<p>Die Pakete sind durchnummeriert und enthalten entsprechende Dateien, die diese Nummerierung fortsetzen. Ein Beispiel ist das Paket wlwz-2312-1405, welches die Dateien 14050.ts bis 14059.ts enth\u00e4lt. Dies l\u00e4sst darauf schlie\u00dfen, dass es sich um zahlreiche kleine Ausschnitte eines l\u00e4ngeren Films oder m\u00f6glicherweise mehrerer Filme handelt.<\/p>\n<p>Trotz der Kennzeichnung enthalten die Pakete offenbar keine sch\u00e4dlichen Codes, sondern lediglich die eigentlichen Videodateien. Es ist noch unklar, wie lange diese Pakete bereits auf npm verf\u00fcgbar waren und wie viele Nutzer sie m\u00f6glicherweise heruntergeladen haben. Die meisten Entwickler, die diese Pakete heruntergeladen haben, d\u00fcrften jedoch \u00fcberrascht gewesen sein, Filmclips anstelle von Code vorzufinden.<\/p>\n<p>Solche Vorf\u00e4lle verdeutlichen erneut die Wichtigkeit eines umfassenden Sicherheitschecks bei der Verwendung von Drittanbieterpaketen. Entwickler sollten immer die Herkunft und Integrit\u00e4t der Pakete \u00fcberpr\u00fcfen, bevor sie sie in ihre Projekte integrieren. Unternehmen wie Sonatype spielen dabei eine wichtige Rolle, da sie sich auf die Sicherheit von Softwareentwicklung und -bereitstellung spezialisiert haben.<\/p>\n<p>Es bleibt abzuwarten, ob weitere Informationen \u00fcber die Motive des Benutzers wlwz oder die Hintergr\u00fcnde dieser ungew\u00f6hnlichen Aktion ans Licht kommen. Bis dahin sollten Entwickler und Unternehmen wachsam bleiben und sicherstellen, dass sie nur vertrauensw\u00fcrdige und sichere Pakete verwenden.<\/p>\n<p>Schlagw\u00f6rter: Sonatype + npm + Clips<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Sonatype, ein Unternehmen, das sich auf DevSec-Ops spezialisiert hat, hat k\u00fcrzlich in 748 Paketen des JavaScript-Paketmanagers npm eine unerwartete Entdeckung gemacht: Filmclips. Es ist bislang unklar, warum der Benutzer mit dem Namen wlwz diese Clips als separate Pakete auf npm hochgeladen hat. Jedes Paket hat eine Gr\u00f6\u00dfe von ungef\u00e4hr 54&#46;&#46;&#46;<\/p>\n","protected":false},"author":4,"featured_media":3583,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-3584","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/3584","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3584"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/3584\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/3583"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3584"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3584"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3584"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}