Die Open Source Security Foundation (OpenSSF) und die OpenJS Foundation schlagen Alarm: Manipulationsversuche bei Open-Source-Projekten nehmen zu. Diese Angriffe zielen darauf ab, Projekte zu übernehmen und stellen eine wachsende Bedrohung dar.
Aktuell warnen die OpenSSF und die OpenJS Foundation vor einer Zunahme von Cyberattacken, die darauf abzielen, vollständige Open-Source-Projekte zu übernehmen. Ein Vorfall ähnlich dem XZ Utils Backdoor-Versuch (CVE-2024-3094) hat jüngst Aufmerksamkeit erregt. Projektleiter und Maintainer werden dringend dazu aufgefordert, geeignete Maßnahmen zum Schutz ihrer Projekte zu ergreifen.
OpenSSF: Gescheiterter Übernahmeversuch bei Open Source-Projekten
Der OpenJS Foundation Cross Project Council wurde mit verdächtigen E-Mails konfrontiert, die verschiedene Namen und überlappende GitHub-assoziierte E-Mail-Adressen aufwiesen. Inhaltlich drängten diese E-Mails die OpenJS Foundation dazu, eine ihrer beliebten JavaScript-Projekte zu aktualisieren, ohne jedoch konkrete Details zu nennen. Die Absender strebten an, als neue Maintainer des Projekts benannt zu werden, obwohl ihre vorherige Beteiligung kaum vorhanden war. Dies ähnelt stark der Vorgehensweise von „Jia Tan“ bei der XZ/liblzma-Backdoor. Jedoch erhielt keiner dieser Personen privilegierten Zugang zum von OpenJS gehosteten Projekt.
Ähnlich verdächtige Muster wurden auch in zwei anderen populären JavaScript-Projekten identifiziert, die nicht von der OpenJS Foundation gehostet werden. Die potenziellen Sicherheitsbedenken wurden umgehend den entsprechenden Führungskräften sowie der Cybersecurity and Infrastructure Security Agency (CISA) des US-amerikanischen Ministeriums für Innere Sicherheit gemeldet.
Schritte zur Sicherung von Open-Source-Projekten
OpenSSF Guides und bewährte Sicherheitspraktiken
Zusätzlich zu diesen Warnungen geben die OpenSSF und die OpenJS Foundation Empfehlungen heraus, um Open-Source-Projekte besser zu schützen. Hier sind einige bewährte Sicherheitspraktiken, die Projektleiter und Maintainer umsetzen können:
Verwendung bewährter Sicherheitspraktiken
- Nutzen Sie die OpenSSF Guides und folgen Sie bewährten Sicherheitspraktiken.
- Implementieren Sie eine robuste Authentifizierung und aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) oder Multifaktor-Authentifizierung (MFA).
Sicherheitsrichtlinien und Prozesse
- Verwenden Sie einen sicheren Passwort-Manager und bewahren Sie Ihre Wiederherstellungscodes sicher auf, idealerweise offline.
- Vermeiden Sie die Wiederverwendung von Anmeldeinformationen oder Kennwörtern für verschiedene Dienste.
- Implementieren Sie eine Sicherheitsrichtlinie mit einem Prozess für koordinierte Offenlegungen von Berichten.
Code-Management und -Überprüfung
- Nutzen Sie bewährte Praktiken für das Zusammenführen neuer Codes, aktivieren Sie Branchenschutzmaßnahmen und signieren Sie Commits.
- Lassen Sie, wenn möglich, einen zweiten Entwickler Code-Reviews durchführen, bevor Änderungen zusammengeführt werden, selbst wenn der Pull-Request von einem Maintainer stammt.
- Legen Sie Lesbarkeitsanforderungen fest, um sicherzustellen, dass neue Pull-Requests nicht verschleiert sind, und minimieren Sie die Verwendung undurchsichtiger Binärdateien.
Zugriffsbeschränkungen und Überprüfungen
- Begrenzen Sie, wer NPM-Veröffentlichungsrechte hat, und überprüfen Sie Ihre Committer und Maintainer regelmäßig.