Code bricht Vertrauen. Wenn Unternehmen ein Update installieren, glauben sie, dass der Autor derjenige ist, für den sie sich ausgeben. Sie gehen davon aus, dass das Repository auf GitHub sicher ist. Hacker wissen das. Sie hörten auf, die Software anzugreifen. Jetzt jagen sie die Menschen, die es bauen.
CrowdStrike hat sich mit Google und der gemeinnützigen Organisation Shadowserver zusammengetan, um das Glassworm-Botnetz zu zerschlagen. Zwei Jahre lang hatten diese Kriminellen die Open-Source-Lieferkette im Visier. Das Ziel? Schadsoftware verbreiten und Passwörter stehlen.
Die Gegner erkannten etwas Einfaches. Wenn Sie den Entwickler angreifen, gefährden Sie alles. Eine einzelne gekaperte Workstation breitet sich nach außen aus. Es betrifft Tausende nachgelagerter Organisationen. Es berührt Millionen von Benutzern.
„Gegner sind nicht mehr nur Zielprodukte, sie haben es auf die Entwickler abgesehen, die sie entwickeln“
Glassworm war glatt. Oder vielleicht einfach nur hartnäckig. Sie verwendeten alles, was funktionierte. Manchmal Malvertising – Bezahlung gefälschter Suchergebnisse, um Downloads auszutricksen. In anderen Fällen verwendeten sie Anmeldedaten wieder, die bei früheren Sicherheitsverletzungen gestohlen worden waren. Dadurch konnten sie sich als echte Entwickler anmelden und Code direkt in vertrauenswürdige Projekte einschleusen.
Sie haben sogar bösartige Erweiterungen auf Entwicklermarktplätzen veröffentlicht. Ein Mehrfrontenkrieg. Und sie haben einige Schlachten gewonnen. Mehr als 30 GitHub-Repositories wurden vergiftet. Der Schaden breitete sich schnell aus.
Der Shutdown erfolgte schnell. CrowdStrike hat vier Befehls- und Kontrollkanäle gestrichen. Dadurch wurde die Verbindung zu infizierten Computern unterbrochen. Die Blutung hörte auf.
Wie kommunizierte das Botnetz? An cleveren Orten.
– Die Solana-Blockchain
– BitTorrent-Kollegen
– Google Kalender
– Virtuelle private Server
Versteckt vor aller Augen. Sie überprüfen Ihren Kalender und da ist er – ein bösartiger Befehlssatz.
Hat jemand um Erlaubnis gebeten, den Stecker ziehen zu dürfen? Unklar. Auf Nachfrage gab CrowdStrike über den öffentlichen Bericht hinaus keine weiteren Details bekannt. Stille, wo sonst Rechtsklarheit herrscht.
Dies ist kein Einzelfall. Erst letzte Woche hat eine separate Gruppe namens „Mini Shai-Hulid“ mehrere Projekte kompromittiert. Sie haben fehlerhafte Updates veröffentlicht. Zwei OpenAI-Entwickler fielen zum Opfer. Zuvor wurde im März angeblich von nordkoreanischen Hackern ein Tool namens Axios gekapert, das von Millionen genutzt wird.
Warum passiert das immer wieder? Weil Open Source das moderne Internet betreibt. Und Vertrauen ist die einzige Firewall. Bis sich das ändert, bleiben die Entwickler im Fadenkreuz. Der Code ist nur das Fahrzeug.
