Die zunehmende Verbreitung von Open-Source-Malware in den letzten Jahren hat bei vielen Sicherheitsexperten Besorgnis ausgelöst. Seit 2019 haben Analysen des Unternehmens Sonatype über 778.500 bösartige Pakete identifiziert, die überwiegend aus dem JavaScript-Ökosystem npm stammen. Dieser alarmierende Anstieg steht in engem Zusammenhang mit einem rapiden Wachstum der Download-Anfragen und dem Fehlen adäquater Prüfmechanismen, die die Verbreitung solcher Malware frühzeitig stoppen könnten. Aufgedeckte Bedrohungen umfassen unter anderem den Crypto-Stealer „pytoileur“, die LUMMA-Malware und das „solana-py“-Typosquat-Malware-Paket. Besonders besorgniserregend ist dabei die Tatsache, dass diese Malware oft im Verborgenen agiert und unentdeckte Schwachstellen gezielt ausnutzt.
Ein Großteil der identifizierten Malware besteht aus potenziell unerwünschten Anwendungen (PUAs), die häufig Spyware, Adware oder Tracking-Module enthalten und somit die Privatsphäre der Endnutzer massiv gefährden. Daneben gibt es zahlreiche Pakete, die darauf abzielen, bestehende Sicherheitslücken auszunutzen und Daten zu exfiltrieren. Besonders betroffen sind Regierungsorganisationen, auf die 67,31 Prozent der blockierten Angriffe entfallen. Unternehmen aus der Finanzbranche machen 24 Prozent der Angriffe aus, während die Energie-, Öl- und Gasindustrie mit 2,15 Prozent ein vergleichsweise geringeres Ziel darstellt. Diese vielfältigen Bedrohungen zeigen, dass die Reichweite und das Potenzial von Open-Source-Malware nicht unterschätzt werden dürfen.
Ein weiteres alarmierendes Problem sind die sogenannten „Shadow Downloads“ – Direktdownloads, die die traditionellen Sicherheitsmechanismen von Repositorys umgehen. Diese unerwünschten Downloads haben im Vergleich zum Vorjahr um 32,8 Prozent zugenommen und stellen eine wachsende Herausforderung für Entwickler und Sicherheitsverantwortliche dar. Brian Fox, der Chief Technology Officer (CTO) von Sonatype, weist darauf hin, dass Entwickler zunehmend zum primären Ziel für Angriffe auf die Software-Lieferkette werden. Open-Source-Malware bleibt oft von Endpunktlösungen unentdeckt und wird auch von herkömmlichen Schwachstellenanalysen nicht erfasst, was ihre Bekämpfung besonders schwierig macht.
Die Analyse von Sonatype zeigt deutlich, dass der Umgang mit Open-Source-Malware eine proaktive anstelle einer reaktiven Strategie erfordert. Um die Sicherheit und Integrität von Software-Lieferketten langfristig zu gewährleisten, ist es notwendig, vorausschauende Maßnahmen zu ergreifen. Dies könnte beispielsweise durch die Implementierung strengerer Überprüfungsprozesse und die Sensibilisierung der Entwicklergemeinschaft für die potenziellen Gefahren realisiert werden. Nur durch präventives Handeln können die Verbreitung schadhafter Pakete gestoppt und die damit verbundenen Risiken für verschiedene Sektoren wie Regierung, Finanzwesen und Energiebranche minimiert werden.