Categories: Open SourceSoftware

Open-Source-Software absichtlich korrumpiert

Es begann als unschuldiger Protest. RIAEvangelist Brandon Nozaki Miller, Maintainer des JavaScript-Paketmanagers Npm, schrieb und veröffentlichte ein Open-Code-Npm-Quellcode-Paket namens peacenotwar. Es fügte lediglich eine Protestbotschaft gegen Russlands Einmarsch in der Ukraine hinzu. Doch dann nahm es eine dunklere Wendung: Es begann, die Dateisysteme von Computern zu zerstören.

Um genau zu sein, fügte Miller einen Code hinzu, der das Dateisystem eines jeden Computers mit einer russischen oder weißrussischen IP-Adresse löscht. Dann fügte sein Betreuer das Modul als Abhängigkeit zu dem äußerst beliebten node-ipc-Modus hinzu. Node-ipc wiederum ist eine beliebte Abhängigkeit, die viele JavaScript-Programmierer verwenden. Damit wurde es von einer Belästigung zu einem Systemzerstörer.

Der Code wurde seit seinem ersten Auftauchen mehrfach geändert, muss aber als äußerst gefährlich angesehen werden. Um das Schadenspotenzial zu unterstreichen, kodierte Miller seine Codeänderungen in base-64, damit das Problem durch einfaches Lesen des Codes schwerer zu erkennen ist.

Laut der Sicherheitsfirma Snyk, die das Problem aufgedeckt hat, ist „node-ipc (Versionen >=10.1.1 <10.1.3) ein bösartiges Paket. Dieses Paket enthält bösartigen Code, der auf Benutzer mit einer IP in Russland oder Weißrussland abzielt und ihre Dateien mit einem Herz-Emoji überschreibt.“ Es wird jetzt als CVE-2022-23812 verfolgt. Synk stuft dieses beschädigte Open-Was-Fähigkeitspaket mit einem kritischen CVSS-Rating (Common Vulnerability Scoring System) von 9,8 (kritisch) und damit sehr gefährlich ein.

Das ist leichter gesagt als getan. Node-ipc ist in vielen Programmen vorhanden. Dieses nodejs-Modul wird für die lokale und entfernte InterProcess Communication (IPC) auf Linux-, Mac- und Windows-Systemen verwendet. Es wird auch in dem sehr beliebten vue-cli verwendet, einem Javascript-Framework für die Erstellung webbasierter Benutzeroberflächen. Von dort aus zerstörte diese Malware eine große Anzahl von Systemen.

Liran Tal, der Snyk-Forscher, der das Problem aufgedeckt hat, sagte: „Selbst wenn die absichtliche und gefährliche Handlung des Maintainers RIAEvangelist von einigen als legitimer Akt des Protests wahrgenommen wird, wie wirkt sich das auf den zukünftigen Ruf des Maintainers und seinen Anteil an der Entwicklergemeinschaft aus? Würde man diesem Maintainer jemals wieder vertrauen, dass er in Zukunft keine derartigen oder noch aggressiveren Aktionen bei Projekten, an denen er beteiligt ist, durchführt?“

Miller selbst verteidigte sein Peacenotwar-Modul auf GitHub mit den Worten: „Das ist alles öffentlich, dokumentiert, lizenziert und Open Source.“

Wie wir alle wissen, lesen nur wenige Menschen Dokumentationen. Außerdem riskiert jeder Ärger, der seinen Produktionssystemen einfach wahllos Code hinzufügt, wie Sophos Senior Threat Researcher Sean Gallagher ausführt. „Wenn Sie Abhängigkeiten live patchen, für die Sie keine QS-Kontrollen haben, dann machen Sie überhaupt keine SecOps“.

Dennoch stellt diese „Protestware“ einen gefährlichen Präzedenzfall dar. Wie ein Programmierer auf GitHub schrieb: „Was damit passieren wird, ist, dass Sicherheitsteams in westlichen Unternehmen, die absolut nichts mit Russland oder der Politik zu tun haben, anfangen werden, freie und quelloffene Software als einen Weg für Angriffe auf die Lieferkette zu sehen (was dies auf jeden Fall ist) und einfach anfangen, freie und quelloffene Software – alle freie und quelloffene Software – innerhalb ihrer Unternehmen zu verbieten. Oder zumindest alles, was von der Gemeinschaft gepflegt wird. Das wird keinen positiven Effekt für die Ukrainer haben und wird der Verbreitung von FOSS [Free and open-source software] nur schaden.“

In der Zwischenzeit hat ein anderer Entwickler, Tyler S. Resch, MidSpike, in gewohnter Open-Source-Manier einen Versuch gestartet, einen sicheren node-ipc-Fork auf GitHub zu erstellen.

ZDNet.de Redaktion

Recent Posts

Google schließt schwerwiegende Sicherheitslöcher in Chrome

Sie stecken unter anderem in der JavaScript-Engine V8. Angreifbar sind Chrome für Windows, macOS und…

6 Stunden ago

VMware-Alternativen: Diese Möglichkeiten bieten andere Anbieter, Open Source und die Cloud

Die Übernahme von VMware durch Broadcom schlägt in der IT-Welt hohe Wellen. Die Produkt- und…

8 Stunden ago

Checkpoint: Microsoft überarbeitet kumulative Updates für Windows 11

Mit Windows 11 Version 24H2 setzt Microsoft auf kleinere kumulative Update-Pakete. Dafür erhält Windows zwischen…

11 Stunden ago

Smartphoneverkäufe steigen um 6,5 Prozent im zweiten Quartal

Samsung und Apple wachsen langsamer als die Konkurrenz aus China. IDC rechnet mit weiteren Wachstumsimpulsen…

21 Stunden ago

Nach Verkaufsverbot: Kaspersky zieht sich auf US-Markt zurück

Der schrittweise Rückbau der Geschäftsaktivitäten beginnt am 20. Juli. Das Verkaufsverbot entzieht Kaspersky nach eigenen…

1 Tag ago

IT-Ausgaben steigen 2024 voraussichtlich um 7,5 Prozent

Gartner korrigiert seine Prognose leicht nach unten. Wachstumsmotor der IT-Ausgaben bleibt jedoch der zunehmende Einsatz…

1 Tag ago