Social Engineering-Angriffe bedrohen Open-Source-Projekte: Warnung der OpenSSF und OpenJS Foundation

Open-Source-Projekte sind heutzutage nicht mehr wegzudenken. Sie sind das Rückgrat unserer digitalen Welt und ermöglichen es Entwicklern und Organisationen, Software zu verbessern und Innovationen voranzutreiben. Doch wie bei allem im Leben, birgt auch die Offenheit von Open Source gewisse Risiken. Die Open Source Security Foundation (OpenSSF) und die OpenJS Foundation haben uns kürzlich darauf aufmerksam gemacht.

In einer gemeinsamen Mitteilung haben die beiden Organisationen vor den Gefahren von Social Engineering-Angriffen auf Open-Source-Projekte gewarnt. Als Beispiel wurde der Versuch genannt, eine Backdoor in das XZ Utils-Projekt einzuschleusen (CVE-2024-3094). Dieser Vorfall könnte jedoch nur die Spitze des Eisbergs sein. Die OpenJS Foundation berichtete von einem ähnlichen, aber glücklicherweise vereitelten Übernahmeversuch.

Die OpenJS Foundation ist eine Plattform für JavaScript-Projekte, die von Milliarden von Websites weltweit genutzt werden. In diesem Zusammenhang erhielt die Foundation auffällige E-Mails, die verschiedene Namen trugen, aber thematisch mit E-Mails über GitHub zusammenhingen. Diese E-Mails forderten die OpenJS Foundation dazu auf, Maßnahmen zu ergreifen, um eines ihrer populären JavaScript-Projekte zu aktualisieren und kritische Sicherheitslücken zu beheben. Die Absender der E-Mails äußerten den Wunsch, als neue Projektverantwortliche benannt zu werden, obwohl sie zuvor nur geringfügig involviert waren.

Dieser Ansatz ähnelt stark dem Vorgehen von Jia Tan, der es geschafft hatte, sich als Maintainer für XZ Utils einzuschleichen und dort eine Backdoor zu platzieren. Wie genau Jia Tan das geschafft hat, ist noch unklar. Aber es zeigt deutlich, dass solche Angriffe auf Open-Source-Projekte eine reale Bedrohung darstellen.

Um das Bewusstsein für diese anhaltenden Bedrohungen bei allen Open-Source-Maintainern zu schärfen, haben sich die OpenSSF, die OpenJS Foundation und die Linux Foundation zusammengeschlossen. Gemeinsam wollen sie praktische Anleitungen und Ressourcen aus der großen Gemeinschaft von Sicherheits- und Open-Source-Experten zur Verfügung stellen. Diese sollen helfen, verdächtige Handlungen zu erkennen und angemessen darauf zu reagieren.

Die Mitteilung nennt auch einige Indizien für verdächtige Handlungen, auf die man achten sollte. Dazu gehören ungewöhnliche oder unerwartete Anfragen, insbesondere in Bezug auf Sicherheitslücken oder Zugriffsrechte. Auch das plötzliche Auftauchen neuer Akteure, die eine übermäßige Kontrolle über ein Projekt fordern, sollte als Warnsignal betrachtet werden. Es ist wichtig, solche Hinweise ernst zu nehmen und gegebenenfalls genauere Überprüfungen durchzuführen, um mögliche Angriffe zu erkennen und zu verhindern.

Die Open Source Community ist ein Ort des gemeinsamen Engagements und der Zusammenarbeit. Doch wie dieser Vorfall zeigt, müssen wir auch hier vorsichtig sein. Indem wir uns bewusst sind, dass solche Angriffe existieren können, und indem wir die nötigen Schritte unternehmen, um unsere Projekte zu schützen, können wir weiterhin von den vielen Vorteilen von Open Source profitieren. Die OpenSSF, die OpenJS Foundation und die Linux Foundation leisten dabei wichtige Arbeit, indem sie uns dabei unterstützen, unsere Projekte sicher zu halten und die Integrität der Open-Source-Community zu wahren.

Schlagwörter: OpenJS + OpenSSF + Jia Tan

Wie bewerten Sie den Schreibstil des Artikels?