Von Raphael Satter
WASHINGTON (Reuters) – Der jüngste Versuch eines unbekannten Akteurs, ein weit verbreitetes Softwareprogramm zu sabotieren, könnte einer von mehreren Versuchen gewesen sein, wichtige Teile der digitalen Infrastruktur im Internet zu untergraben, sagten zwei Open-Source-Gruppen in einer am Montag veröffentlichten Warnung.
In einer gemeinsamen Erklärung sagten die Open Source Security Foundation und die OpenJS Foundation, dass der Versuch, eine geheime Hintertür in XZ Utils einzufügen – ein wenig bekanntes Programm, das in Linux-Betriebssystemen auf der ganzen Welt integriert ist – „möglicherweise kein Einzelfall“ sei. ”
Sie sagten, mindestens drei verschiedene JavaScript-Projekte seien von namentlich nicht genannten Personen ins Visier genommen worden, die verdächtige Updates forderten oder darum baten, zum Betreuer der Zielsoftware ernannt zu werden.
Die Programmiersprache JavaScript ist die Grundlage für einen Großteil des modernen Webs und wird auf der ganzen Welt intensiv genutzt. Omkhar Arasaratnam, General Manager der Open Source Security Foundation, sagte, dass allein eines der Zielpakete wöchentlich mehrere zehn Millionen Downloads verzeichnete.
Er lehnte es ab, die JavaScript-Projekte namentlich zu nennen, mit der Begründung, er wolle eine laufende Untersuchung schützen.
Arasaratnam sagte auch, dass zwar nicht klar sei, was die mutmaßlichen böswilligen Akteure zu tun gehofft hätten – „wir haben sie gestoppt, bevor sie so weit gekommen seien“ – er vermutete jedoch, dass sie hofften, auch Hintertüren in diese Projekte einzubauen.
Die OpenJS- und Open-Source-Sicherheitsstiftungen sagten, sie hätten die US-amerikanische Cybersecurity & Infrastructure Security Agency vor der vermuteten Infiltration gewarnt. Die Agentur antwortete nicht sofort mit der Bitte um Stellungnahme.