Wenn der Open-Source-Admin zum "Malware-Vektor" wird

Am 20. November wurde in der Open-Source-Software Event-Stream, einem Modul von npm, eine Hintertür entdeckt. npm ist ein Paketmanager für die JavaScript-Laufzeitumgebung Node.js. Aktiviert wurde die Hintertür nur, wenn Event-Stream in Copay, einem Open-Source-Kryptowährungswallet von BitPay integriert wurde. Durch die Hintertür konnte ein Angreifer dann an den zum Wallet gehörenden privaten Schlüssel herankommen. Vor der Entdeckung der Hintertür wurden zwei Copay-Versionen ausgeliefert, die sie enthielten (5.02 und 5.1.0).
 
Eingeschleust wurde die Malware von einem anonymen Github-User, der sich right9ctrl nannte. Früher war das Repository von Event-Stream auf Github von Dominic Tarr verwaltet worden. Dieser hatte aber schon 2015 aufgehört, grössere Beiträge zu machen. right9ctrl offerierte ihm in einem E-Mail, die Pflege des Codes zu übernehmen. Dieser scheint froh gewesen zu sein, die Verantwortung weitergeben zu können, und gab right9ctrl am 4. September das Recht, Code zu schreiben. Nach einigen tatsächlichen Bug-Fixes schlug dieser dann zu.
 
Cory Doctorow, der kanadische Science-Fiction-Schriftsteller und Mitautor des Techno-Blogs 'BoingBoing', warnt nun davor, dass die Methode in der Hackergemeinde Nachahmer finden und eine grosse Gefahr darstellen könnte: Finde ein "schlafendes" Open-Source-Projekt, das aber in vielen Applikationen verwendet wird. Werde ein Administrator und Du hast einen wunderbaren Weg, um Malware zu verbreiten. Auch der Security-Experte Bruce Schneier findet Doctorows Warnung bedenkenswert.
 
Viele Open-Source-Projekte erreichen irgendwann eine grosse Reife, führt Doctorow aus. Niemand brauche noch neue Features und es werden auch nur noch selten Bugs gefunden. Die Zahl der Beteiligten schwindet, bis oft nur noch wenige oder sogar nur ein einsamer Programmierer übrigbleibt, der es noch weiter pflegt. Dieser wird dann verständlicherweise oft sehr froh sein, wenn sich ein neuer Programmierer für das Projekt interessiert und anbietet, bei der lästigen Weiterpflege zu helfen.
 
Und ironischerweise seien genau dies oft Projekte, deren Ergebnisse in den Applikationen von Millionen von Usern stecken. (hjm)