Anfang Monat wurden zwei schwerwiegende Lücken in verschiedenen Versionen von "XZ Utils" gefunden. Die Daten­komprimierungs­bibliothek ist in Unix-Systemen weit verbreitet. Wären die Schwachstellen nicht durch reinen Zufall entdeckt worden, hätten die Hacker einen enormen Schaden anrichten können, denn mit dem Supply-Chain-Angriff hätten sie die Kontrolle über Millionen Servern übernehmen können.

Jetzt haben Forschende der OpenJS Foundation einen weiteren Versuch entdeckt, bei dem Cyberkriminelle ein nicht genauer benanntes Open-Source-Projekt infiltrieren wollten. OpenJS warnt in einem Beitrag davor, dass sie "eine Reihe von verdächtigen E-Mails mit Nachrichten erhalten haben, die unterschiedliche Namen tragen und sich mit GitHub-assoziierten E-Mail-Adressen überschneiden".

In der Nachricht wurde die Open-Source-Organisation dazu aufgefordert, eines ihrer Javascript-Projekte zu aktualisieren, um eine kritische Sicher­heits­lücke zu schliessen. "Die Verfasser wollten von OpenJS als neue Betreuer des Projekts benannt werden, obwohl sie zuvor kaum daran beteiligt waren", so Robin Bender Ginn, Executive Director der Foundation.

Laut dem Security-Experten hatte keine der beteiligten Personen je einen privilegierten Zugang zu dem von OpenJS gehosteten Projekt. Dieses verfügt gemäss Ginn über eigene Sicherheitsrichtlinien, die von der Sicherheits­arbeits­gruppe der Organisation festgelegt wurden. Deshalb betrachtet die OpenJS Foundation den Versuch als ein weiteres Beispiel dafür, dass Open-Source-Betreiber stets wachsam bleiben müssen.

Chris Hughes, Chief Security Advisor beim Open-Source-Security-Anbieter Endor Labs und Cyber Innovation Fellow bei der amerikanischen Cyber­security and Infrastructure Security Agency (CISA), sagte gegenüber 'The Record', dass schätzungsweise ein Viertel aller Open-Source-Projekte nur einen einzigen Betreuer haben und 94% nicht mehr als 10 Personen, die für die Software und deren Sicherheit zuständig sind.

Hughes wies zudem darauf hin, dass das Open-Source-Ökosystem unglaublich undurchsichtig ist. So sollen Komponenten und Projekte, die für die digitale Infrastruktur von entscheidender Bedeutung sind, oft von Personen mit unbekannten Pseudonymen oder über den ganzen Globus verteilt betreut werden.

"Dies macht das gesamte Ökosystem anfällig für böswillige Akteure, die sich diese Gegebenheiten zunutze machen und überforderte Betreuer ausnutzen. Die Anforderungen der Community seien zwar hoch, doch die Betreuer werden für ihre harte Arbeit und ihr Engagement bei der Pflege des Codes nicht entlohnt", sagte er.

Für Firmen, die Open-Source-Lösungen in ihren Systemen einsetzen, bedeute dies einen "grundlegenden Wandel", sagten Jack Cable und Aeva Black von der CISA. "Jeder Technologiehersteller, der von Open-Source-Software profitiert, muss seinen Teil dazu beitragen, indem er die Lösungen verant­wortungs­bewusst nutzt und nachhaltig mitgestaltet."

"Die Verantwortung über die Sicherheit sollte nicht einem einzelnen Open-Source-Betreuer aufgebürdet werden", sind sich die beiden einig. "Vielmehr müssen Unternehmen, die Open-Source-Software nutzen, einen finanziellen oder zeitlichen Beitrag leisten, um ein nachhaltiges Open-Source-Ökosystem zu gewährleisten", sagten sie. Technologiehersteller sollten sich deshalb dafür einsetzen, dass auch bei der Entwicklung von Open-Source-Software "Secure by Design" zum Einsatz kommt.