Thought Leadership
Open Source bildet das Fundament der digitalen Welt, doch aktuelle Ereignisse zeigen, wie anfällig die Lieferkette ist.
Das Sicherheitsteam von JFrog hat eine groß angelegte Kompromittierung von npm-Paketen aufgedeckt, die sensible Daten aus Entwickler- und CI/CD-Umgebungen abzielte.
Insgesamt wurden 164 Pakete in 338 Versionen identifiziert, die Zugänge zu Cloud-Diensten wie AWS und GCP sowie zu GitHub und npm stehlen sollten. Der Ausgangspunkt war eine manipulierte Version des Pakets @ctrl/tinycolor. Von dort griff der Angriff auf bekannte Bibliotheken wie angulartics2, koa2-swagger-ui oder react-jsonschema-form-conditionals über.
Die Schadsoftware entwickelte sich in kurzer Zeit weiter: Sie setzte Werkzeuge wie TruffleHog ein, um Geheimnisse systematisch aufzuspüren, und probierte verschiedene Methoden, um die Daten an von Angreifern kontrollierte GitHub-Repositories weiterzugeben.
Die Untersuchung verdeutlicht, wie sich kompromittierte Abhängigkeiten binnen weniger Tage im gesamten Ökosystem verbreiten können. Sehr gefährlich ist dabei das Vertrauen vieler Entwickler in populäre Bibliotheken. Frühere Vorfälle, wie der bekannte xz-Backdoor-Angriff, zeigen, dass selbst stark genutzte Projekte mitunter von nur wenigen Personen gepflegt werden – ein Risiko, das Angreifer gezielt ausnutzen.
Empfehlungen für mehr Sicherheit
JFrog rät Unternehmen dazu, Abhängigkeiten strenger zu kontrollieren und Zero-Trust-Prinzipien konsequent umzusetzen. Zu den Maßnahmen zählen:
- verpflichtende Zwei-Faktor-Authentifizierung für Entwicklerkonten
- gründliche Prüfung neuer Pakete und ihrer Abhängigkeiten
- Einführung interner Regeln, welche Pakete in Projekte aufgenommen werden dürfen
- Verzögerung von Updates um mindestens zwei Wochen, um Manipulationen rechtzeitig erkennen zu können
Governance-Rahmenwerke wie ISO 27001 können unterstützend wirken, reichen jedoch nicht aus, wenn ihre Umsetzung uneinheitlich erfolgt oder Sicherheitskontrollen lückenhaft bleiben.
Lehren aus dem Vorfall
Der sogenannte Shai-Hulud-Angriff ist kein Einzelfall, sondern Ausdruck eines wachsenden Problems: Die Bedeutung von Open Source wächst schneller als die personellen und organisatorischen Ressourcen ihrer Maintainer.
Für Unternehmen bedeutet das: Transparenz, strikte Richtlinien und bewusste Vorsicht sind unverzichtbar. Wer Open Source nutzen möchte, braucht mehr als nur Vertrauen in populäre Namen. Notwendig ist ein nachhaltiger Ansatz mit Prüfung, Kuratierung und einem Zero-Trust-Modell – nur so lässt sich die Resilienz der Software-Lieferkette sichern.
