Entwickler korrumpiert seine eigenen NPM-Bibliotheken 'colors' und 'faker'

10. Januar 2022, 16:09
  • security
  • developer
  • github
  • open source
  • international
image

Tausende Anwendungen funktionieren nicht mehr richtig. Es bleibt zu hoffen, dass der Vorfall nicht zum Vorbild für andere Open-Source-Entwickler wird.

Die Open-Source-Bibliotheken 'colors' und 'faker' auf NPM wurden korrumpiert. Das Techmagazin 'Bleepingcomputer' hat berichtet, dass Anwendungen, die auf die Biblio­theken zugegriffen haben, nur noch unlesbare Codes ausgaben oder gar ganz zusammenbrachen. Verantwortlich dafür soll der Entwickler der Open-Source-Bibliotheken selbst sein. Gemäss dem Magazin hat er eine Endlosschleife in die Datenbank eingebaut und damit mehrere Tausend Projekte zum Absturz gebracht.
Die 'colors'-Bibliothek allein wird auf NPM, dem Paketmanager für die JavaScript-Laufzeitumgebung Node.js über 20 Millionen Mal pro Woche heruntergeladen. Fast 19'000 Projekte verlassen sich auf die Open-Source-Software. Die 'faker'-Bibliothek wird wöchentlich rund 2,8 Millionen Mal von NPM gedownloadet und trägt zur Funktion von 2'500 Applikationen bei.

Bösartige Absichten

Nach ersten Spekulationen fand 'Bleepingcopmuter' in einer Recherche heraus, dass ein Entwickler namens Marak Squires der colors.js-Bibliothek ein "neues Modul für die amerikanische Flagge" hinzufügte, das er anschliessend auf GitHub und NPM veröffentlichte. Dazu wurde auch eine sabotierte Version von 'faker' online gestellt. Die neuen Codes mit den eingefügten Endlosschleifen haben dann dazu geführt, dass die kauderwelschartige Nicht-ASCII-Zeichenfolge für alle Anwendungen in einer Endlosschleife auf der Konsole ausgegeben wurden.
Als Grund für die Sabotage wird eine Vergeltungsmassnahme seitens des Entwicklers vermutet. Er solle sich insbesondere gegen Grosskonzerne und kommerzielle Nutzer von Open-Source-Projekten gestellt haben, die in grossem Umfang auf kostenlose Open-Source-Software zurückgreifen, dabei aber nichts an die Gemeinschaft zurückgeben.
Bereits im November 2020 hatte Marak gewarnt, dass er die grossen Firmen nicht länger mit seiner kostenlosen Arbeit unterstützen werde. Dabei bot er den kommerziellen Unternehmen die Möglichkeit ihre Projekte entweder zu forken oder ihm ein sechsstelliges Jahresgehalt zu bezahlen. "Bei allem Respekt, ich werde die Fortune 500s (und andere kleinere Unternehmen) nicht mehr mit meiner kostenlosen Arbeit unterstützen. Es gibt nicht viel mehr zu sagen", liess der Entwickler sich damals zitieren.

Die grosse Verschwörung?

'Bleepingcomputer' hat weiter herausgefunden, dass die Readme-Seite für die schadhafte GitHub-Bibliothek ebenfalls verändert wurde. Unter anderem findet sich darin die Frage: "Was ist wirklich mit Aaron Swartz passiert?" Swartz war ein amerikanischer Programmierer und Unternehmer, der bestrebt war Informationen für alle frei zugänglich zu machen. Dabei lud der Hacktivist Millionen von Zeitschriftenartikeln aus einer Datenbank des MIT herunter und veröffentlichte diese. Dabei hat Swartz gegen das Gesetz über Computerbetrug und -missbrauch verstossen. Im Verlaufe des Rechtsstreits beging er Selbstmord.
Maraks Aktion hat ein ganzes Spektrum an verschiedenen Reaktionen hervorgerufen. Die Meinungen zu der Tat könnten unterschiedlicher nicht sein. Während einige Mitglieder der Open-Source-Gemeinschaft das Vorgehen des Entwicklers – insbesondere auch im Zusammenhang mit der Geschichte rund um Aaron Swartz – gelobt haben, waren andere über sein Vorgehen entsetzt. In einem Tweet gab Marak zudem bekannt, dass sein GitHub-Konto gesperrt wurde, was wiederum zu weiteren Diskussionen in der Community geführt hat.

Loading

Mehr zum Thema

image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

DXC hofft auf Turnaround im kommenden Jahr

Der Umsatz des IT-Dienstleisters ist im abgelaufenen Quartal erheblich geschrumpft. Im nächsten Geschäftsjahr soll es aber wieder aufwärts gehen, sagt der CEO.

publiziert am 2.2.2023
image

Cyberangriff auf Adesso Deutschland

Kriminelle haben Systeme kompromittiert und Daten kopiert. Kundendaten sind laut dem IT-Dienstleister nicht abgeflossen.

publiziert am 2.2.2023
image

AMD schlägt sich durch, Intel-CEO muss einbüssen

Trotz der schwierigen Wirtschaftslage kann sich AMD gut behaupten. Beim Konkurrenten sieht es anders aus: Intel spart bei den Löhnen – auch CEO Pat Gelsinger muss einstecken.

publiziert am 1.2.2023