Die Open Source Security (OpenSSF) und die OpenJS Foundation schlagen Alarm wegen einer Zunahme von Social-Engineering-Versuchen, die darauf abzielen, Kontrolle über Open-Source-Projekte zu erlangen. Diese Entwicklung folgt auf den kürzlichen Vorfall mit den XZ Utils, bei dem ein ähnlicher Angriff gerade noch rechtzeitig vereitelt werden konnte.
Der jüngste versuchte Angriff auf das XZ Utils-Projekt (CVE-2024-3094) ist laut den Führungskräften der OpenJS Foundation und der OpenSSF kein Einzelfall. Die Taktiken, die dabei verwendet wurden, ähneln stark früheren Übernahmeversuchen, die ebenfalls durch Social Engineering gekennzeichnet waren. Solche Angriffe nutzen menschliche Fehler aus, um unautorisierten Zugang zu kritischen Ressourcen zu erhalten.
Die OpenJS Foundation berichtete, dass sie eine Serie verdächtiger E-Mails erhalten hat, die alle darauf abzielten, neue Wartungsberechtigungen für eines ihrer populären JavaScript-Projekte zu erwirken. Die Angreifer hatten kaum vorherige Verbindungen zu den Projekten, was ein klares Warnsignal ist. Ähnliche Muster wurden auch in anderen populären JavaScript-Projekten, die nicht direkt von der Foundation gehostet werden, erkannt.
Die Foundations appellieren an alle Open-Source-Maintainer, wachsam zu sein und frühzeitig auf Bedrohungsmuster zu reagieren. Hier einige Vorschläge zur Sicherung Ihrer Projekte:
- Starke Authentifizierung verwenden: Aktivieren Sie Zwei-Faktor-Authentifizierung oder Mehrfaktor-Authentifizierung.
- Sicherheitsrichtlinien implementieren: Führen Sie klare Richtlinien für das Merging neuer Codes und für Sicherheitsaudits ein.
- Transparenz bewahren: Teilen Sie verdächtige Aktivitäten klar und transparent, um auch andere in der Community zu schützen.
- Bildung: Informieren Sie sich und Ihr Team über die Risiken und Anzeichen von Social Engineering.
Nicht nur die OpenSSF und die OpenJS Foundation, sondern auch größere Organisationen wie die Linux Foundation verstärken ihre Bemühungen, Open-Source-Projekte zu unterstützen. Projekte wie Alpha-Omega, unterstützt von Microsoft, Google und Amazon, zielen darauf ab, die Sicherheit in kritischen Open-Source-Projekten zu verbessern und schnelle Reaktionen auf Sicherheitslücken zu ermöglichen.
Die aktuellen Bedrohungen zeigen, wie wichtig eine umfassende Sicherheitsstrategie für Open-Source-Projekte ist. Maintainer sollten die verfügbaren Ressourcen nutzen und proaktive Maßnahmen ergreifen, um ihre Projekte gegen solche ausgeklügelten Angriffe zu schützen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: