Das Open-Source-Ökosystem ist ein Eckpfeiler der modernen Softwareentwicklung und fördert Innovation und Zusammenarbeit. Seine Offenheit macht es jedoch anfällig für verschiedene Cyberbedrohungen. Laut ein Bericht von ComparitechIm Jahr 2023 wurden mehr als 100 Millionen Varianten von Malware und potenziell unerwünschten Anwendungen (PUA) identifiziert. Dies zeigt, dass Malware-bezogene Angriffe weiterhin eine ernste Cyberbedrohung darstellen.
Neue Malware-Familien in Open-Source-Paketen
Install-Tamper-Malware
Wie sie arbeiten: Diese Art von Malware manipuliert den Installationsprozess von Open-Source-Paketen. Sie fügt während der Paketinstallation Schadcode ein, der dann bei jeder Verwendung des Pakets ausgeführt werden kann.
Ausgenutzte Schwachstellen: Install-Tamper Malware nutzt das Vertrauen der Benutzer aus Platz in Open-Source-Repositories und das Fehlen strenger Sicherheitsprüfungen während des Paketinstallationsprozesses.
Schutzstrategien: Zum Schutz vor manipulierender Malware bei der Installation ist es wichtig, geprüfte und signierte Pakete zu verwenden, die Zwei-Faktor-Authentifizierung für Repository-Konten zu aktivieren und regelmäßige Sicherheitsüberprüfungen der Abhängigkeiten durchzuführen.
Beispiel für Install-Tamper-Schadcode: npm-Paket „colors“ (2022)
Beschreibung:
Das Paket „colors“ ist eine beliebte npm-Bibliothek, die zum Hinzufügen von Farbeffekten zu Konsolenprotokollen verwendet wird. Es wird häufig in verschiedenen Node.js-Anwendungen verwendet.
Wie es funktioniert hat:
Anfang 2022 wird eine Version des Paket „Farben“ wurde böswillig verändert, um ein Endlosschleifen-Skript in seine Hauptdatei aufzunehmen. Diese Änderung wurde vom Projektbetreuer selbst vorgenommen, angeblich aus Protest gegen die Nutzung von Open-Source-Projekten durch Unternehmen ohne ausreichende Unterstützung oder Spenden.
Auswirkungen:
Diese Änderung führte zum Absturz aller Anwendungen, die die kompromittierte Version von „Colors“ verwendeten, und führte zu weitreichenden Störungen bei zahlreichen Unternehmen und Softwaresystemen, deren Betrieb auf dieses Paket angewiesen war.
Gewonnene Erkenntnisse:
Dieser Vorfall unterstreicht die Schwachstellen des vertrauensbasierten Modells der Open-Source-Paketverwaltung. Er unterstreicht die Notwendigkeit für die Betreuer, ethische standards und für Benutzer, gründliche Überprüfungen und Tests von Drittanbieter-Abhängigkeiten in ihren Entwicklungsumgebungen durchzuführen. Der Fall „Farben“ unterstreicht auch, wie wichtig es ist, Open-Source-Betreuer zu unterstützen, um Burnout und unethische Vergeltungsmaßnahmen zu vermeiden.
Erstmalige Verwendung einer Backdoor
Wie sie arbeiten: Diese Hintertür wird aktiviert, wenn ein Open-Source-Paket importiert und zum ersten Mal verwendet wird. Sie kann Systeminformationen an einen Remote-Server senden oder zusätzliche Payloads herunterladen.
Ausgenutzte Schwachstellen: First-Use-Backdoors machen sich die Ausführung von ungeprüftem Code bei der ersten Verwendung eines Pakets zunutze und umgehen dabei häufig statische Analysetools.
Schutzstrategien: Der Schlüssel zur Abwehr von First-Use-Backdoors besteht darin, den Code neu importierter Pakete zu überprüfen und zu überwachen und ungewöhnliches Verhalten mithilfe dynamischer Analysetools zu erkennen.
Beispiel für eine Backdoor beim ersten Einsatz: Webmin-Backdoor-Vorfall (2019)
Beschreibung:
Webmin ist eine beliebte webbasierte Schnittstelle zur Systemadministration für Unix. Im Jahr 2019 Es wurde festgestellt, dass die Software mit einem Hintertür- die bereits über ein Jahr im Code vorhanden waren, bevor sie entdeckt wurden.
Wie es funktioniert hat:
Die Hintertür wurde heimlich über einen kompromittierten Build-Server in das Webmin-GitHub-Repository eingeschleust. Der Schadcode war nur aktiv, wenn der Administrator das Passwort über die Webmin-Oberfläche änderte. Einmal aktiviert, ermöglichte er die Remote-Befehlsausführung mit Root-Rechten.
Auswirkungen:
Die Hintertür wurde mit den Webmin-Versionen 1.882 bis 1.921 ausgeliefert und betraf potenziell über drei Millionen Websites und Server. Die Hintertür öffnete Systeme für Remote-Angreifer, die potenziell die vollständige Kontrolle über den Server erlangen konnten, was zu Datendiebstahl, Server-Hijacking und weiteren Netzwerkkompromittierungen führen konnte.
Gewonnene Erkenntnisse:
Dieser Vorfall verdeutlicht die kritische Schwachstelle, die entstehen kann, wenn Build-Prozesse kompromittiert werden. Er unterstreicht, wie wichtig es ist, Build-Server zu sichern und regelmäßige Sicherheitsprüfungen während des Softwareentwicklungszyklus durchzuführen. Der Fall Webmin zeigt auch, wie wichtig eine gründliche Überprüfung von Software-Updates ist, selbst wenn sie aus vertrauenswürdigen Quellen stammen.
Runtime-Compromise-Wurm
Wie sie arbeiten: Dieser Wurm schlummert in einem Open-Source-Paket und wird zur Laufzeit aktiviert, wodurch er sich potenziell auf andere Pakete und Systeme ausbreitet.
Ausgenutzte Schwachstellen: Runtime-Compromise-Würmer nutzen die Vernetzung von Open-Source-Projekten aus, bei denen ein kompromittiertes Paket andere beeinträchtigen kann.
Schutzstrategien: Die Implementierung einer strengen Überwachung des Laufzeitverhaltens und von Systemen zur Anomalieerkennung kann dazu beitragen, solche Bedrohungen zu identifizieren und einzudämmen.
Beispiel für Runtime-Compromise P2PInfect: Der rostige, sich selbst replizierende Peer-to-Peer-Wurm
Beschreibung:
P2PInfect ist ein Peer-to-Peer-Wurm (P2P), der von den Cloud-Forschern von Unit 42 entdeckt wurde.
Dieser Wurm wurde in Rust geschrieben, einer hochgradig skalierbaren und Cloud-freundlichen Programmiersprache, kann plattformübergreifende Infektionen auslösen und zielt auf Redis ab, eine beliebte Open-Source-Datenbankanwendung, die häufig in Cloud-Umgebungen verwendet wird.
So funktioniert es:
Erste Nutzung:
- P2PInfect nutzt die Lua-Sandbox-Escape-Schwachstelle CVE-2022-0543 in anfälligen Redis-Instanzen aus.
- Die Sicherheitslücke ermöglicht es dem Wurm, beliebigen Code innerhalb der Lua-Skriptumgebung auszuführen.
Nutzlastlieferung:
- Sobald der erste Zugriff erfolgt ist, legt P2PInfect eine erste Nutzlast ab, die eine P2P-Kommunikation mit einem größeren Netzwerk herstellt.
- Der Wurm lädt dann weitere schädliche Binärdateien herunter, darunter betriebssystemspezifische Skripts und Scansoftware.
Fortpflanzung:
- Die infizierte Redis-Instanz tritt dem P2P-Netzwerk bei und ermöglicht so zukünftigen kompromittierten Redis-Instanzen den Zugriff auf andere Payloads.
- P2PInfect zielt sowohl auf Linux- als auch auf Windows-Betriebssysteme ab und ist daher skalierbarer und wirksamer als andere Würmer.
Auswirkungen :
Die Forscher von Unit 42 haben in den letzten zwei Wochen über 307,000 einzigartige Redis-Systeme identifiziert, die öffentlich kommuniziert haben. 934 davon könnten für diese P2P-Wurmvariante anfällig sein.
P2PInfect ist ein Beispiel für einen schwerwiegenden Angriff, den Bedrohungsakteure aus dieser Sicherheitsanfälligkeit durchführen könnten.
Gewonnene Erkenntnisse:
Entwickler müssen ihre Pakete überprüfen und verifizieren, Abhängigkeiten auf dem neuesten Stand halten und bei Paketnamen und -quellen vorsichtig sein.
Um solche Angriffe auf die Lieferkette zu verhindern, sind Wachsamkeit und kontinuierliche Überwachung unabdingbar.
Abhängigkeitskettenangriff
Wie sie arbeiten: Angreifer kompromittieren ein Paket in einer Abhängigkeitskette, was sich dann auf alle anderen Pakete auswirkt, die darauf angewiesen sind.
Ausgenutzte Schwachstellen: Dieser Angriff nutzt das Vertrauen in Paketabhängigkeiten und den Kaskadeneffekt eines kompromittierten Pakets aus.
Schutzstrategien: Die Verwendung eines Softwarezusammensetzungsanalysetools zum Verfolgen und Verwalten von Open-Source-Komponenten und ihren Abhängigkeiten kann vor Abhängigkeitskettenangriffen schützen.
Beispiel für einen Dependency-Chain-Angriff npm-Paket „event-stream“ (2018): Ein Supply-Chain-Kompromiss
Beschreibung:
Im Jahr 2018 wurde das beliebte npm-Paket namens „Ereignisstrom“ wurde kompromittiert.
Der Angriff beinhaltete eine Manipulation der Abhängigkeitskette, die ahnungslose Benutzer betraf.
Wie es funktioniert hat:
Anfänglicher Kompromiss:
- Der Angreifer übernahm eine weniger genutzte Abhängigkeit namens „Flatmap-Stream“.
- Sie haben Schadcode in „Flatmap-Stream“ eingeschleust.
Vermehrung:
- Der kompromittierte „Flatmap-Stream“ wurde als Abhängigkeit in das weit verbreitete Paket „Event-Stream“ aufgenommen.
- Viele Projekte haben unwissentlich das kompromittierte „Event-Stream“-Paket installiert.
Auswirkungen:
Der Angreifer verschaffte sich Zugriff auf vertrauliche Informationen ahnungsloser Benutzer.
Der Vorfall verdeutlichte die Risiken von Angriffen auf die Lieferkette über Abhängigkeiten.
Gewonnene Erkenntnisse:
Entwickler müssen ihre Pakete überprüfen und verifizieren, Abhängigkeiten auf dem neuesten Stand halten und bei Paketnamen und -quellen vorsichtig sein.
Um solche Angriffe auf die Lieferkette zu verhindern, sind Wachsamkeit und kontinuierliche Überwachung unabdingbar.
Schützen Sie Ihre Open Source-Projekte mit Xygeni
Wie bereits erwähnt, ist das Open-Source-Ökosystem ein zweischneidiges Schwert – es fördert zwar Innovationen, setzt Ihre Software aber auch erheblichen Risiken aus, wie Manipulationsschutz installieren Malware, First-Use-Backdoors und Dependency-Chain-Angriffe. Die Folgen dieser Bedrohungen sind schwerwiegend und der Schutz Ihrer Software-Lieferkette ist von entscheidender Bedeutung.
Xygeni bietet leistungsstarke Lösungen zum Schutz Ihrer Open-Source-Projekte vor diesen sich entwickelnden Bedrohungen. Unsere Tools sorgen dafür, dass Ihre Abhängigkeiten sicher bleiben, Ihre Software widerstandsfähig bleibt und Ihr Entwicklungsprozess reibungslos abläuft.
Machen Sie Smarter DecisIonen mit umfassender Paketanalyse
Angesichts der Komplexität von Open-Source-Paketen ist es wichtig, fundierte Entscheidungen zu treffen. Xygenis Komplette Paketanalyse ermöglicht Ihnen eine schnelle Bewertung der Sicherheit von Open-Source-Komponenten. Mit unserer Plattform können Sie sichere und zuverlässige Pakete auswählen und so die Risiken unsicherer Abhängigkeiten vermeiden. Durch intelligentes DesigncisDurch die frühzeitige Integration von Ionen können Sie stärkere und sicherere Anwendungen erstellen, die den Test der Zeit bestehen.
Proaktiver Schutz durch Malware-Erkennung in Echtzeit
Es reicht nicht aus, auf Bedrohungen zu reagieren, nachdem sie Ihr System infiltriert haben. Deshalb bietet Xygeni Malware-Erkennung in Echtzeit um Bedrohungen wie Zero-Day-Malware sofort abzufangen, wenn sie auftauchen. Unser System blockiert Schadcode sofort und verhindert, dass dieser jemals Ihre Entwicklungsumgebung erreicht. Durch schnelles Handeln stellen Sie sicher, dass Ihre Projekte von Anfang an sicher sind.
Sichern Sie Ihre Lieferkette durch kontinuierliche Überwachung
In der schnelllebigen Welt der Softwareentwicklung kommt es ständig zu Änderungen. Xygenis Kontinuierliche Überwachung der Lieferkette behält jedes Update im Auge. Unser proaktiver Schutz erkennt und blockiert verdächtige Änderungen in Ihren Abhängigkeiten und verhindert, dass kompromittierte Pakete in Ihre Projekte gelangen. Mit Xygeni pflegen Sie eine sichere und zuverlässige Lieferkette und schützen Ihre Software vor potenziellen Bedrohungen.
Übernehmen Sie mit Xygeni die Kontrolle über Ihre Sicherheit
Wie Sie gesehen haben, sind die Risiken bei Open-Source-Software real und nehmen zu. Die Sicherheitslösungen von Xygeni bieten Ihnen die Tools, um diese Risiken effektiv zu managen. Indem Sie sich auf Früherkennung, umfassende Paketanalyse und kontinuierliche Überwachung konzentrieren, können Sie Ihre Software vor neuen Bedrohungen schützen. Lassen Sie Ihre Open-Source-Projekte nicht angreifbar – verbessern Sie Ihre Sicherheitsstrategie noch heute mit Xygeni und genießen Sie die Gewissheit, dass Ihre Software und Daten sicher sind.
Sind Sie bereit, Ihre Open-Source-Projekte zu sichern? Lassen Sie sich von Xygeni dabei unterstützen, Bedrohungen immer einen Schritt voraus zu sein und robuste Software zu entwickeln, die mit allem fertig wird, was als Nächstes kommt.
Sehen Sie sich unsere Video-Demo an
