Wie Cyberkriminelle quelloffene Software infiltrieren
Bösartige Hacker haben den Quellcode der Programmbibliothek Axios manipuliert. Erfolgreich waren sie mit einer ausgeklügelten Social-Engineering-Taktik. Der Angriff auf den Axios-Entwickler ist nicht der einzige seiner Art, wie weitere Berichte aus der Open-Source-Community zeigen.
Die Zahl der Beispiele von Angriffen auf die Software-Lieferkette ist um eine Anekdote reicher. Die Hauptrolle spielt diesmal "Axios", eine weit verbreitete Programmbibliothek aus dem Javascript-Ökosystem. Viele Javascript-Projekte greifen darauf zurück. "Sie ist einfach da und wickelt still und leise Anfragen über den gesamten Stack hinweg ab", umschreibt der Cybersecurity-Anbieter Socket den Stellenwert.
Aufwändiges Social Engineering
Entsprechend attraktiv ist Axios für Cyberkriminelle. Gelingt ihnen das Einschleusen schädlichen Codes in diese eine Bibliothek, werden potenziell alle davon abhängigen Projekte angreifbar. Die in Axios eingeschmuggelten Codezeilen veranlassten die infizierten Computer, noch mehr Malware herunterzuladen und auszuführen.
Erfolgreich waren die Cybergauner dank ausgeklügeltem Social Engineering. Über Wochen umgarnten sie Jason Saayman, den Entwickler der Axios-Bibliothek. So gaben sie vor, von einer bekannten, vertrauenswürdigen Cybersecurity-Firma zu kommen und mit Saayman zusammenarbeiten zu wollen. Wie Socket zusammenfasst, gehörten "gefälschte Unternehmensidentitäten, ein überzeugend gestalteter Slack-Workspace, inszenierte Besprechungen und eine Schadsoftware zum Aktivieren des Fernzugriffs" zum Werkzeugkasten der Angreifer. Damit wickelten sie Saayman so sehr um den Finger, dass er ihnen irgendwann Zugriff auf seinen PC gewährte – wenn auch unbewusst. Ab da hatten sie leichtes Spiel: Jetzt konnten die Hacker im Namen des Entwicklers handeln und die Programmbibliothek nach Belieben verändern.
Nur ein Fall von vielen
"Aufgrund eines menschlichen Fehlers war ich so dumm, darauf hereinzufallen", gibt sich Saayman auf der Coder-Plattform Github selbstkritisch. Doch die Frage darf gestellt werden: Wie viele Leute würden einen derart aufwändigen Social-Engineering-Angriff noch erkennen?
Fest steht, dass Saayman nicht der einzige Entwickler ist, den die bösartigen Hacker ins Visier nehmen. Nachdem sich der Axios-Entwickler öffentlich äusserte, meldete sich eine ganze Menge weiterer Entwickler aus der Open-Source-Community mit ähnlichen Erlebnissen, wie Socket weiter schreibt. Die Hackergruppe, wie "Golem" und Cybersecurity-Experten schreiben, handelt es sich dabei um die in Nordkorea beheimatete UNC1069 – scheint gezielt Entwickler populärer quelloffener Programmbibliotheken anzugehen.
Systemisches Problem
Viele dieser Open-Source-Developer pflegen die Bibliotheken quasi als Einzelkämpfer. Nicht selten arbeiten sie in ihrer Freizeit an den quelloffenen Projekten. Jenen Projekten, die dann Teil der Software-Lieferkette vieler weiterer Anwendungen werden. Ohne es zu merken oder zu wollen, steigt so ihre Verantwortung und das Risiko, ins Visier von Hackern zu geraten.
Mit ihrer jetzigen Angriffswelle legen die Cybergauner den Finger einmal mehr in eine Wunde, die im Open-Source-Ökosystem schon länger offen ist. "Golem" spricht in diesem Zusammenhang von einem Strukturproblem. Socket fasst zusammen: "Bei diesem Angriff wurde keine Schwachstelle in Axios selbst ausgenutzt. Ausgenutzt wurden vielmehr das Vertrauen in das Ökosystem, die Zugriffsrechte des Betreuers und die menschliche Komponente der Software-Lieferkette."
Im Blogbeitrag verweist das Unternehmen auf weitere ähnliche Fälle aus der Vergangenheit. Diese ergänzt es mit Beispielen von alleingelassenen Entwicklern, die durch ihre Arbeit an quelloffenen Projekten ausbrannten.
Diese Muster wiederholten sich regelmässig, schreibt Socket und fordert mehr Unterstützung: "Es braucht mehr als nur bessere Werkzeuge oder strengere Kontrollen. Es ist notwendig, die Betreuer selbst als kritische Infrastruktur zu betrachten und ihnen die Zeit, die Freiräume und die Unterstützungssysteme zur Verfügung zu stellen, die sie benötigen, um diese Rolle ausfüllen zu können."
Lesen Sie auch: Open-Source-Code-Bibliotheken werden in den meisten Fällen nie aktualisiert. Der Grund: Mangel an Ressourcen und Informationen, aber auch Nachlässigkeit bei der Auswahl der Code-Bibliotheken.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Wer schützt was?
Wie Cyberkriminelle quelloffene Software infiltrieren
Die meisten KI-Projekte rentieren sich nicht
Russische Hackergruppe attackiert TP-Link-Router
Metas neues KI-Modell toppt in visuellem Verstehen und floppt im Programmieren
Bei Katzen läuft das Dating halt auch nicht viel besser
Roomz führt neues Partnerprogramm ein
Wo laut Ceconet die Cybergefahren in Pro-AV-Projekten lauern
Die Schweiz hat hohe Ansprüche an die Digitalisierung im Gesundheitswesen
