Hier zeigt sich mal wieder, dass die Bequemlichkeit ihren Preis hat: Wenn man fremde Projekte/Produkte/Module/Bibliotheken nutzt, hängt man auch mit drin, wenn es dort ein Sicherheitsproblem gibt.
NPM, das Node Package Managment, hat eine riesige Online Registry mit über 836.000 Paketen (Stand Ende 2018) und biete eine einfache Möglichkeit, diese schnell als Abhängigkeit in die eigenen Projekte einzutragen und zu installieren.
Natürlich zieht das auch böse Menschen an: Schafft man es, Schadcode in ein Paket einzuschleusen, dass von vielen genutzt wird, dann wird dieser Code beim nächsten Aktualisieren auch auf die Rechner der "Nutzer" übertragen. Eine nette Art von Softwareverteilung für Malware...
Die Node.js Foundation unternimmt viel, um das zu verhindern. Aber wenn der echte Entwickler eines nützlichen Moduls kompromittiert wird, und ein böser Junge (oder ein böses Mädchen) seinen Account nutzt, möglicherweise sogar von seinem "ferngesteuerten" Rechner aus, dann sind die Möglichkeiten begrenzt.
Im konkreten Fall hat das event-stream-Package, dass auch vom IBM Connections Component Pack verwendet wird, eine Abhängigkeit von der flatmap-stream-Bibliothek. Und genau dort hat ein Hacker eine Malware eingebaut, die eine Sicherheitslücke im Copay-Bitcoin-Wallet ausnutzt. Das ist zwar im Kontext des Component Packs egal, weil Connections Copay nirgendwo nutzt, aber trotzdem hat IBM schnell reagiert und die neue Version 6.0.0.8 des IBM Connection Component Packs heraus gebracht.
