Eine neue Analyse von Kaspersky zeigt, dass Cyberkriminelle immer häufiger die Offenheit von Open-Source-Software missbrauchen, um Malware zu verbreiten. Dass der Code für jedermann zugänglich und anpassbar ist, nutzen Angreifer, um mit Malware verseuchte Pakete bereitzustellen – die dann von Entwicklern genutzt werden.
Den aktuellen Zahlen zufolge wurden 2024 insgesamt 14.000 schädliche Pakete in Open-Source-Projekten versteckt. Dies entspricht einem Anstieg von 50 Prozent im Vergleich zum Vorjahr. Die Analyse basiert laut Kaspersky auf der Untersuchung von 42 Millionen Versionen von Open-Source-Projekten auf Schwachstellen.
Beispielsweise wurde 2024 eine Backdoor in der beliebten XZ Utils-Kompression für Linux glücklicherweise frühzeitig entdeckt. Diese wurde von einem vertrauenswürdigen Mitwirkenden eingeschleust und hätte potenziell viele Systeme gefährden können. Kaspersky-Experten fanden zudem im vergangenen Jahr schädliche Python-Pakete wie chatgpt-python oder chatgpt-wrapper to PypI, die auf populäre KI-Tools abzielten und versuchten, Entwickler zu täuschen.
Des Weiteren wurde im März 2025 ein Angriff der Lazarus Group erkannt, bei dem schädliche npm-Pakete bereitgestellt wurden, um Daten zu stehlen und Backdoors zu installieren. Diese Pakete wurden über GitHub verbreitet und betrafen verschiedene Betriebssysteme.
„Open-Source-Software ist nach wie vor ein wichtiger Bestandteil vieler moderner Anwendungen. Die Zunahme schädlicher Pakete zeigt jedoch, wie entscheidend es ist, diese regelmäßig auf Sicherheitsrisiken zu überprüfen“, sagte Dmitry Galov, Head of Research Center für Russland und CIS bei Kasperksy. „Angreifer betten aktiv ausgeklügelte Backdoors und Datastealer in beliebte Pakete ein, auf die sich Millionen von Menschen verlassen. Ohne eine rigorose Überprüfung und Echtzeitüberwachung kann ein einziges kompromittiertes Paket eine globale Sicherheitslücke auslösen. Unternehmen müssen ihre Lieferkette sichern, bevor der nächste Angriff auf XZ-Utils-Niveau – wie es bei Linux im Jahr 2024 der Fall war – erfolgreich ist.“
Neueste Kommentare
Noch keine Kommentare zu Open-Source-Projekte: Anstieg schädlicher Pakete um 50 Prozent
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.