Wenn der Open-Source-Admin zum "Malware-Vektor" wird

29. November 2018, 15:54
  • security
  • open source
image

Am 20. November wurde in der Open-Source-Software Event-Stream, einem Modul von npm, eine Hintertür entdeckt. npm ist ein Paketmanager für die JavaScript-Laufzeitumgebung Node.js.

Am 20. November wurde in der Open-Source-Software Event-Stream, einem Modul von npm, eine Hintertür entdeckt. npm ist ein Paketmanager für die JavaScript-Laufzeitumgebung Node.js. Aktiviert wurde die Hintertür nur, wenn Event-Stream in Copay, einem Open-Source-Kryptowährungswallet von BitPay integriert wurde. Durch die Hintertür konnte ein Angreifer dann an den zum Wallet gehörenden privaten Schlüssel herankommen. Vor der Entdeckung der Hintertür wurden zwei Copay-Versionen ausgeliefert, die sie enthielten (5.02 und 5.1.0).
Eingeschleust wurde die Malware von einem anonymen Github-User, der sich right9ctrl nannte. Früher war das Repository von Event-Stream auf Github von Dominic Tarr verwaltet worden. Dieser hatte aber schon 2015 aufgehört, grössere Beiträge zu machen. right9ctrl offerierte ihm in einem E-Mail, die Pflege des Codes zu übernehmen. Dieser scheint froh gewesen zu sein, die Verantwortung weitergeben zu können, und gab right9ctrl am 4. September das Recht, Code zu schreiben. Nach einigen tatsächlichen Bug-Fixes schlug dieser dann zu.
Cory Doctorow, der kanadische Science-Fiction-Schriftsteller und Mitautor des Techno-Blogs 'BoingBoing', warnt nun davor, dass die Methode in der Hackergemeinde Nachahmer finden und eine grosse Gefahr darstellen könnte: Finde ein "schlafendes" Open-Source-Projekt, das aber in vielen Applikationen verwendet wird. Werde ein Administrator und Du hast einen wunderbaren Weg, um Malware zu verbreiten. Auch der Security-Experte Bruce Schneier findet Doctorows Warnung bedenkenswert.
Viele Open-Source-Projekte erreichen irgendwann eine grosse Reife, führt Doctorow aus. Niemand brauche noch neue Features und es werden auch nur noch selten Bugs gefunden. Die Zahl der Beteiligten schwindet, bis oft nur noch wenige oder sogar nur ein einsamer Programmierer übrigbleibt, der es noch weiter pflegt. Dieser wird dann verständlicherweise oft sehr froh sein, wenn sich ein neuer Programmierer für das Projekt interessiert und anbietet, bei der lästigen Weiterpflege zu helfen.
Und ironischerweise seien genau dies oft Projekte, deren Ergebnisse in den Applikationen von Millionen von Usern stecken. (hjm)

Loading

Mehr zum Thema

image

IT-Fachkräftemangel: Wie Wachstum dennoch gelingt

Der Fachkräftemangel ist akuter denn je, besonders in der IT und Cyber Security. Gleichzeitig steigt die Nachfrage nach entsprechenden Services kontinuierlich. Wie gelingt der Spagat zwischen Wachstum und dem «War of Talents»? Rita Kaspar, Head of HR bei InfoGuard AG, gibt Auskunft.

image

Luzerner können Wille zur Organspende in App hinterlegen

Patientinnen und Patienten des Luzerner Kantonsspitals können ihre Entscheidung zur Organspende neu in der Patienten-App ablegen.

publiziert am 26.1.2023
image

Cyberkrimineller erbeutet Meldedaten fast aller Österreicher

Ein Fauxpas bei einem Wiener IT-Unternehmen machte einen grossen Datendiebstahl möglich. Die Spuren führen in die Niederlande.

publiziert am 26.1.2023
image

Datenleck bei der Fremdsprach-App Duolingo?

In einem Forum werden die Daten von 2,6 Millionen Accounts zum Verkauf angeboten. Doch das Unternehmen bestreitet eine Sicherheitsverletzung.

publiziert am 25.1.2023