Thought Leadership
Die Sicherheit von Open-Source-Software steht zunehmend unter Druck. Im Jahr 2024 wurden laut Analysen von Kaspersky insgesamt rund 14.000 schädliche Softwarepakete in Open-Source-Projekten entdeckt.
Das bedeutet einen drastischen Anstieg von 50 Prozent im Vergleich zum Vorjahr. Die Experten des Cybersicherheitsunternehmens untersuchten dabei 42 Millionen Versionen verschiedenster Projekte auf Schwachstellen – mit alarmierenden Ergebnissen.
Gefahren in der Software-Lieferkette
Open-Source-Komponenten sind das Rückgrat moderner Softwareentwicklung. Doch genau diese Offenheit macht sie anfällig für gezielte Manipulationen. Hacker platzieren immer häufiger schädliche Codes – darunter sogenannte Backdoors und Datendiebe – in scheinbar vertrauenswürdige Pakete. Diese können unbemerkt in Unternehmenssysteme gelangen und dort massiven Schaden anrichten.
Dmitry Galov, Leiter des Research Center für Russland und die GUS bei Kaspersky GReAT, warnt eindringlich:
„Open-Source-Software ist nach wie vor ein wichtiger Bestandteil vieler moderner Anwendungen. Die Zunahme schädlicher Pakete zeigt jedoch, wie entscheidend es ist, diese regelmäßig auf Sicherheitsrisiken zu überprüfen. Angreifer betten aktiv ausgeklügelte Backdoors und Datastealer in beliebte Pakete ein, auf die sich Millionen von Menschen verlassen. Ohne eine rigorose Überprüfung und Echtzeitüberwachung kann ein einziges kompromittiertes Paket eine globale Sicherheitslücke auslösen. Unternehmen müssen ihre Lieferkette sichern, bevor der nächste Angriff auf XZ-Utils-Niveau – wie es bei Linux in 2024 der Fall war – erfolgreich ist.“
Konkrete Angriffe und ihre Folgen
Ein besonders brisantes Beispiel aus dem Jahr 2024 war die Entdeckung einer Hintertür in den weit verbreiteten XZ Utils, einem Kompressionswerkzeug für Linux. Die Schadsoftware wurde von einem scheinbar vertrauenswürdigen Mitwirkenden in das Projekt eingebracht und konnte glücklicherweise frühzeitig enttarnt werden. Wäre dies nicht geschehen, hätte sie potenziell zahlreiche Systeme kompromittieren können.
Auch der Python-Paketmanager PyPI wurde zur Zielscheibe. Pakete mit Namen wie chatgpt-python oder chatgpt-wrapper wurden dort eingeschleust. Sie richteten sich gezielt an Entwickler, die mit populären KI-Tools arbeiteten – eine perfide Täuschungstaktik.
Ein weiterer gravierender Vorfall ereignete sich im März 2025: Die berüchtigte Lazarus Group nutzte schädliche npm-Pakete, um Daten zu stehlen und Backdoors zu platzieren. Diese wurden über GitHub verbreitet und bedrohten gleich mehrere Betriebssysteme. Der Angriff verdeutlicht, wie professionell und organisiert Cyberkriminalität inzwischen vorgeht.
Notwendigkeit proaktiver Sicherheitsmaßnahmen
Diese Entwicklungen zeigen: Die Bedrohung durch manipulierte Open-Source-Pakete nimmt nicht nur zu, sondern wird auch immer raffinierter. Sicherheitsüberprüfungen, automatisierte Scans und kontinuierliche Überwachung der Softwarelieferkette sind unerlässlich geworden. Besonders Unternehmen, die stark auf Open-Source-Komponenten angewiesen sind, müssen umdenken und ihre Schutzmechanismen deutlich verstärken.
Die aktuellen Erkenntnisse machen deutlich, dass Cyberangriffe längst nicht mehr nur auf individuelle Ziele abzielen. Sie bedrohen ganze Infrastrukturen – global, gezielt und mit zunehmender Komplexität.
