Ein Entwickler warnte große Tech-Firmen vor einer neuartigen Hacking-Möglichkeit.
Mit einem kreativen Ansatz konnte der Sicherheitsforscher Alex Birsan schon letztes Jahr in die internen Systeme großer Firmen gelangen, darunter Apple und Tesla. Dazu platzierte er Malware in Open-Source-Software, die von diesen genutzt wird.
Von Open Source zu „Open Servers“
Die Malware wurde über die Programm-Downloads auf die Computer der Mitarbeiter transferiert und gelangte so in die IT-Infrastrukturen der Unternehmen. Die Website Bleeping Computer erklärt das ganze Verfahren hier genauer.
Zentral für das Verfahren ist, dass manche Datensätze von Open-Source-Programmen, die in Apps von lokalen Firmengeräten erstellt werden, auch wieder öffentlich werden. Dies kann ausgenutzt werden:
Im vergangenen Jahr stieß der Sicherheitsforscher Alex Birsan auf eine Idee, als er mit einem anderen Forscher, Justin Gardner, zusammenarbeitete. Gardner hatte Birsan eine Manifestdatei, package.json, aus einem von PayPal intern verwendeten npm-Paket zur Verfügung gestellt.
Birsan bemerkte, dass einige der Manifest-Dateipakete nicht im öffentlichen npm-Repository vorhanden waren, sondern stattdessen von PayPal privat erstellte npm-Pakete, die vom Unternehmen intern verwendet und gespeichert wurden.
Als der Forscher dies sah, fragte er sich, ob im öffentlichen npm-Repository zusätzlich zu einem privaten NodeJS-Repository ein Paket mit demselben Namen vorhanden sein sollte, welches Priorität erhalten würde.
Entwickler wird von Tech-Firmen belohnt
Birsan informierte alle betroffenen Firmen über diese Sicherheitslücke und wurde bereits reich dafür belohnt, mit insgesamt 130.000 US-Dollar. Auch Apple kündigte an, sich finanziell erkenntlich zu zeigen.