Ende 2018 wurde ein heimtückischer Angriff auf GitHub publik: Ein Angreifer hatte sich das Vertrauen eines Projektverantwortlichen erschlichen, um dann Schadcode in ein Update des NPM-Moduls Event-Stream zu injizieren. Dies ergibt laut dem bekannten kanadischen Science-Fiction-Autor und Blogger Cory Doctorow einen „beängstigenden Social-Engineering-Vektor für Malware“.

Der Ablauf: Am 20. November wurde eine Backdoor im NPM-Modul Event-Stream entdeckt, laut einer Analyse von Hayden Parker auf medium.com eingebracht von einem GitHub-Benutzer über das bösartige Flatmap-Stream-Modul. Der Angriff zielte laut Parker offenbar auf digitale Währungen: Der Schadcode greift nur dann, wenn der Code in BitPays Open-Source-Wallet Copay enthalten ist, mit dem Ziel, den privaten Schlüssel der Wallet zu exfiltrieren.

Die Nutzung des Quellcodes aus dem Zeitraum zwischen dem 25. Oktober und dem 26. November hätte somit eine Backdoored-Version von Copay erzeugt. Der Twitter-Nutzer Felix Krause beschrieb den Angriffsvektor in Twitter-typischer Kürze:

„Schritt 1: Gehen Sie die beliebtesten inaktiven Open-Source-Bibliotheken durch.
Schritt 2: Kontaktieren Sie den Verfasser und bieten Sie Ihre Mithilfe an.
Schritt 3: Erhalten Sie Push-Zugriff und veröffentlichen Sie eine kompromittierte Version.
Schritt 4 Erreichen Sie zwei Millionen Anwendungen innerhalb einer Woche.“

Cory Doctorow erläuterte auf boingboing.net, warum dies tatsächlich ein gefährlicher neuer Angriffsvektor ist: „Viele Open-Source-Projekte erreichen einen Reifegrad, bei dem niemand wirklich neue Funktionen benötigt und nicht viele neue Fehler gefunden werden.“ Zu diesem Zeitpunkt, so Doctorow, flaue dann die Bereitschaft zur Mitwirkung an solchen Projekten ab – bis hin zu einem einzigen Betreuer, der dann dankbar sei, wenn Entwickler sich für derlei ältere Projekte interessieren und anbieten, ihm Arbeit abzunehmen.

„Ironischerweise handelt es sich dabei oft um Projekte mit Millionen von Nutzern, die ihnen gerade wegen ihrer stoischen, wenig aufregenden Reife vertrauen“, warnt Doctorow. Supply-Chain-Angriffe über ältere, an sich ausgereifte Open-Source-Projekte könnten sich damit künftig zum Einfallstor für die rasante Verbreitung von Malware und Backdoors entwickeln.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.