Open-Source-Software absichtlich korrumpiert

Es begann als unschuldiger Protest. RIAEvangelist Brandon Nozaki Miller, Maintainer des JavaScript-Paketmanagers Npm, schrieb und veröffentlichte ein Open-Code-Npm-Quellcode-Paket namens peacenotwar. Es fügte lediglich eine Protestbotschaft gegen Russlands Einmarsch in der Ukraine hinzu. Doch dann nahm es eine dunklere Wendung: Es begann, die Dateisysteme von Computern zu zerstören.

Um genau zu sein, fügte Miller einen Code hinzu, der das Dateisystem eines jeden Computers mit einer russischen oder weißrussischen IP-Adresse löscht. Dann fügte sein Betreuer das Modul als Abhängigkeit zu dem äußerst beliebten node-ipc-Modus hinzu. Node-ipc wiederum ist eine beliebte Abhängigkeit, die viele JavaScript-Programmierer verwenden. Damit wurde es von einer Belästigung zu einem Systemzerstörer.

Der Code wurde seit seinem ersten Auftauchen mehrfach geändert, muss aber als äußerst gefährlich angesehen werden. Um das Schadenspotenzial zu unterstreichen, kodierte Miller seine Codeänderungen in base-64, damit das Problem durch einfaches Lesen des Codes schwerer zu erkennen ist.

Laut der Sicherheitsfirma Snyk, die das Problem aufgedeckt hat, ist „node-ipc (Versionen >=10.1.1 <10.1.3) ein bösartiges Paket. Dieses Paket enthält bösartigen Code, der auf Benutzer mit einer IP in Russland oder Weißrussland abzielt und ihre Dateien mit einem Herz-Emoji überschreibt.“ Es wird jetzt als CVE-2022-23812 verfolgt. Synk stuft dieses beschädigte Open-Was-Fähigkeitspaket mit einem kritischen CVSS-Rating (Common Vulnerability Scoring System) von 9,8 (kritisch) und damit sehr gefährlich ein.

Das ist leichter gesagt als getan. Node-ipc ist in vielen Programmen vorhanden. Dieses nodejs-Modul wird für die lokale und entfernte InterProcess Communication (IPC) auf Linux-, Mac- und Windows-Systemen verwendet. Es wird auch in dem sehr beliebten vue-cli verwendet, einem Javascript-Framework für die Erstellung webbasierter Benutzeroberflächen. Von dort aus zerstörte diese Malware eine große Anzahl von Systemen.

Liran Tal, der Snyk-Forscher, der das Problem aufgedeckt hat, sagte: „Selbst wenn die absichtliche und gefährliche Handlung des Maintainers RIAEvangelist von einigen als legitimer Akt des Protests wahrgenommen wird, wie wirkt sich das auf den zukünftigen Ruf des Maintainers und seinen Anteil an der Entwicklergemeinschaft aus? Würde man diesem Maintainer jemals wieder vertrauen, dass er in Zukunft keine derartigen oder noch aggressiveren Aktionen bei Projekten, an denen er beteiligt ist, durchführt?“

Miller selbst verteidigte sein Peacenotwar-Modul auf GitHub mit den Worten: „Das ist alles öffentlich, dokumentiert, lizenziert und Open Source.“

Wie wir alle wissen, lesen nur wenige Menschen Dokumentationen. Außerdem riskiert jeder Ärger, der seinen Produktionssystemen einfach wahllos Code hinzufügt, wie Sophos Senior Threat Researcher Sean Gallagher ausführt. „Wenn Sie Abhängigkeiten live patchen, für die Sie keine QS-Kontrollen haben, dann machen Sie überhaupt keine SecOps“.

Dennoch stellt diese „Protestware“ einen gefährlichen Präzedenzfall dar. Wie ein Programmierer auf GitHub schrieb: „Was damit passieren wird, ist, dass Sicherheitsteams in westlichen Unternehmen, die absolut nichts mit Russland oder der Politik zu tun haben, anfangen werden, freie und quelloffene Software als einen Weg für Angriffe auf die Lieferkette zu sehen (was dies auf jeden Fall ist) und einfach anfangen, freie und quelloffene Software – alle freie und quelloffene Software – innerhalb ihrer Unternehmen zu verbieten. Oder zumindest alles, was von der Gemeinschaft gepflegt wird. Das wird keinen positiven Effekt für die Ukrainer haben und wird der Verbreitung von FOSS [Free and open-source software] nur schaden.“

In der Zwischenzeit hat ein anderer Entwickler, Tyler S. Resch, MidSpike, in gewohnter Open-Source-Manier einen Versuch gestartet, einen sicheren node-ipc-Fork auf GitHub zu erstellen.