xz-Attacke: Hinweise auf ähnliche Angriffsversuche bei drei JavaScript-Projekten
"Jia Tan" hat Druck auf den xz-Maintainer aufgebaut, um eine Hintertür einzuschmuggeln. Es gibt Hinweise, dass bei anderen Projekten ähnliches versucht wurde.
(Bild: africa_pink/Shutterstock.com)
Der ausgeklügelte und nur mit viel Glück abgewendete Angriff auf die xz-Tools ist "wahrscheinlich kein Einzelfall". Es gibt Hinweise auf ähnliche Angriffe auf insgesamt drei JavaScript-Projekte. Das haben die Open Source Security Foundation und die OpenJS Foundation publik gemacht, die von einer Serie von ähnlichen E-Mails und verdächtigen Accounts auf GitHub sprechen. Um welche Projekte es sich handelt, teilen die beiden Organisationen nicht mit. Sie appellieren an die Verantwortlichen für Open-Source-Projekte, auf Attacken mittels Social Engineering vorbereitet zu sein, Frühwarnzeichen zu erkennen und Schritte zur Absicherung ihrer Projekte zu übernehmen.
Ähnliches Vorgehen wie bei xz
In einem Fall, den die beiden Organisationen zusammenfassen, seien an ein Gremium der OpenJS Foundation Forderungen per E-Mail herangetragen wurden, "eines der populärsten JavaScript-Projekte" zu aktualisieren und "kritische Sicherheitslücken" anzugehen. Details seien nicht genannt worden. Stattdessen habe der unbekannte Verfasser oder die Verfasserin gefordert, als verantwortlich eingesetzt zu werden – obwohl daran vorher nicht mitgearbeitet wurde. Das erinnere stark an das Vorgehen von "Jia Tan" bei den xz-Werkzeugen. Ähnliche Versuche habe es bei zwei weiteren Projekten gegeben, die nicht von der Organisation gehostet würden. Man habe die US-Cybersicherheitsbehörde CISA darüber informiert.
Auch wenn beide Organisationen keine Details nennen, fassen sie zusammen, welche verdächtigen Muster sie ausgemacht haben. So müsse man besonders vorsichtig sein, wenn ein relativ unbekanntes Mitglied einer Community "freundlich, aber aggressiv und hartnäckig" gegenüber Verantwortlichen eines Projekts auftritt. Verräterisch sei es auch, wenn eine unbekannte Person Maintainer werden wolle und dabei von anderen unbekannten Personen unterstützt werde. Außerdem müsse besonders aufgepasst werden, wenn Quelltext absichtlich schwer zu durchschauen oder gar nicht für Menschen lesbar sei. Außerdem müsse aufgepasst werden, wenn es um angeblich immer größere Sicherheitsprobleme gehe und ein falscher Anschein von Dringlichkeit erweckt werde.
Bei solchen Angriffen würde das Verantwortungsgefühl ausgenutzt, das die Verantwortlichen gegenüber ihren Projekten und der Community hätten, schreiben die Organisationen. Denen raten sie, auf ihre eigenen Gefühle zu achten, wenn man Selbstzweifel bekomme oder meine, nicht ausreichend zu tun, könnte das Folge eines Angriffs sein. Zudem raten sie zu unterschiedlichen Sicherheitsmaßnahmen wie die Nutzung von Zwei-Faktor-Authentifizierung, eines Passwortmanagers und weiteren Praktiken. Weiterhin sollte auf bewährte Praktiken für die Aufnahme neuen Codes zurückgegriffen und die Rechtevergabe streng kontrolliert werden. Zur Unterstützung der oft kleinen Teams fordern sie auch deutlich mehr Ressourcen und internationale Koordination.
Angriff auf den letzten Metern vereitelt
Die Bekanntmachung, dass es offenbar auf mehrere JavaScript-Projekte Angriffsversuche gegeben hat, folgt auf die Entdeckung eines ausgeklügelten Angriffs auf die xz-Tools, die in vielen Open-Source-Plattformen enthalten sind. Der Angreifer "Jia Tan" hatte dafür jahrelange Vorarbeit geleistet und mithilfe mehrerer Komplizen oder Fake-Accounts, die psychologischen Druck auf den Hauptentwickler aufgebaut haben, nicht nur Kontrolle über das xz-Projekt erlangt und eine Hintertür eingebaut. Obendrein hat er Linux-Distributionen dazu gedrängt, die von ihm präparierten Versionen der Pakete schnellstmöglich in ihre Systeme zu übernehmen. Der Angriff war gewissermaßen auf der Zielgeraden entdeckt worden. Andernfalls hätte er katastrophale Folgen haben können.
Lesen Sie auch
Aktenzeichen XZ ungelöst
(mho)