Categories: Open SourceSoftware

Open-Source-Software absichtlich korrumpiert

Es begann als unschuldiger Protest. RIAEvangelist Brandon Nozaki Miller, Maintainer des JavaScript-Paketmanagers Npm, schrieb und veröffentlichte ein Open-Code-Npm-Quellcode-Paket namens peacenotwar. Es fügte lediglich eine Protestbotschaft gegen Russlands Einmarsch in der Ukraine hinzu. Doch dann nahm es eine dunklere Wendung: Es begann, die Dateisysteme von Computern zu zerstören.

Um genau zu sein, fügte Miller einen Code hinzu, der das Dateisystem eines jeden Computers mit einer russischen oder weißrussischen IP-Adresse löscht. Dann fügte sein Betreuer das Modul als Abhängigkeit zu dem äußerst beliebten node-ipc-Modus hinzu. Node-ipc wiederum ist eine beliebte Abhängigkeit, die viele JavaScript-Programmierer verwenden. Damit wurde es von einer Belästigung zu einem Systemzerstörer.

Der Code wurde seit seinem ersten Auftauchen mehrfach geändert, muss aber als äußerst gefährlich angesehen werden. Um das Schadenspotenzial zu unterstreichen, kodierte Miller seine Codeänderungen in base-64, damit das Problem durch einfaches Lesen des Codes schwerer zu erkennen ist.

Laut der Sicherheitsfirma Snyk, die das Problem aufgedeckt hat, ist „node-ipc (Versionen >=10.1.1 <10.1.3) ein bösartiges Paket. Dieses Paket enthält bösartigen Code, der auf Benutzer mit einer IP in Russland oder Weißrussland abzielt und ihre Dateien mit einem Herz-Emoji überschreibt.“ Es wird jetzt als CVE-2022-23812 verfolgt. Synk stuft dieses beschädigte Open-Was-Fähigkeitspaket mit einem kritischen CVSS-Rating (Common Vulnerability Scoring System) von 9,8 (kritisch) und damit sehr gefährlich ein.

Das ist leichter gesagt als getan. Node-ipc ist in vielen Programmen vorhanden. Dieses nodejs-Modul wird für die lokale und entfernte InterProcess Communication (IPC) auf Linux-, Mac- und Windows-Systemen verwendet. Es wird auch in dem sehr beliebten vue-cli verwendet, einem Javascript-Framework für die Erstellung webbasierter Benutzeroberflächen. Von dort aus zerstörte diese Malware eine große Anzahl von Systemen.

Liran Tal, der Snyk-Forscher, der das Problem aufgedeckt hat, sagte: „Selbst wenn die absichtliche und gefährliche Handlung des Maintainers RIAEvangelist von einigen als legitimer Akt des Protests wahrgenommen wird, wie wirkt sich das auf den zukünftigen Ruf des Maintainers und seinen Anteil an der Entwicklergemeinschaft aus? Würde man diesem Maintainer jemals wieder vertrauen, dass er in Zukunft keine derartigen oder noch aggressiveren Aktionen bei Projekten, an denen er beteiligt ist, durchführt?“

Miller selbst verteidigte sein Peacenotwar-Modul auf GitHub mit den Worten: „Das ist alles öffentlich, dokumentiert, lizenziert und Open Source.“

Wie wir alle wissen, lesen nur wenige Menschen Dokumentationen. Außerdem riskiert jeder Ärger, der seinen Produktionssystemen einfach wahllos Code hinzufügt, wie Sophos Senior Threat Researcher Sean Gallagher ausführt. „Wenn Sie Abhängigkeiten live patchen, für die Sie keine QS-Kontrollen haben, dann machen Sie überhaupt keine SecOps“.

Dennoch stellt diese „Protestware“ einen gefährlichen Präzedenzfall dar. Wie ein Programmierer auf GitHub schrieb: „Was damit passieren wird, ist, dass Sicherheitsteams in westlichen Unternehmen, die absolut nichts mit Russland oder der Politik zu tun haben, anfangen werden, freie und quelloffene Software als einen Weg für Angriffe auf die Lieferkette zu sehen (was dies auf jeden Fall ist) und einfach anfangen, freie und quelloffene Software – alle freie und quelloffene Software – innerhalb ihrer Unternehmen zu verbieten. Oder zumindest alles, was von der Gemeinschaft gepflegt wird. Das wird keinen positiven Effekt für die Ukrainer haben und wird der Verbreitung von FOSS [Free and open-source software] nur schaden.“

In der Zwischenzeit hat ein anderer Entwickler, Tyler S. Resch, MidSpike, in gewohnter Open-Source-Manier einen Versuch gestartet, einen sicheren node-ipc-Fork auf GitHub zu erstellen.

ZDNet.de Redaktion

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

3 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

4 Tagen ago