CyberkriminalitätSchwachstellenMalware

RubyGems stoppt Registrierung nach Hunderten bösartiger Pakete

Von CyberDeutsch Redaktion
RubyGems stoppt Registrierung nach Hunderten bösartiger Pakete
Zusammenfassung

RubyGems, der Standard-Paketmanager für die Programmiersprache Ruby, hat nach einem massiven Malware-Anschlag temporär die Registrierung neuer Benutzerkonten ausgesetzt. Hunderte bösartiger Pakete wurden auf der Plattform hochgeladen, wie der Senior Product Manager für Software Supply Chain Security bei Mend.io, Maciej Mensfeld, bestätigte. Die genaue Identität der Angreifer ist noch unbekannt. Dieser Vorfall reiht sich in eine wachsende Serie von Angriffen auf Open-Source-Ökosysteme ein, bei denen Bedrohungsakteure wie TeamPCP versuchen, weit verbreitete Softwarepakete zu kompromittieren und dadurch Malware mit Credential-Stealing-Funktionen zu verbreiten. Die gestohlenen Anmeldedaten werden anschließend monetarisiert und an Ransomware- und Datenerpressungsgruppen weitergegeben. Für deutsche Entwickler, Softwareunternehmen und IT-Sicherheitsteams stellt dieser Anschlag ein erhebliches Risiko dar, da RubyGems weltweit von Tausenden Projekten genutzt wird. Die Bedrohung verdeutlicht die Anfälligkeit von Software-Lieferketten und unterstreicht die Notwendigkeit verstärkter Sicherheitsmaßnahmen bei der Verwendung von Open-Source-Komponenten in Produktionsumgebungen.

Das Ausmaß des Angriffs auf RubyGems ist beträchtlich. Nach Aussagen von Maciej Mensfeld, Senior Product Manager für Software-Supply-Chain-Sicherheit bei Mend.io, waren Hunderte Pakete betroffen. Die Plattform, die den Online-Shop für Ruby-Bibliotheken betreibt, hat daraufhin die Neuregistrierung deaktiviert – mit der Nachricht: “Neue Kontenregistrierung wurde vorübergehend deaktiviert.”

Bemerkenswert ist die mutmaßliche Zielsetzung: Während die meisten bösartigen Pakete auf Mend.io selbst abzielten, enthielten einige auch Exploits für andere Ziele. Dies deutet darauf hin, dass es sich nicht um einen gezielten Angriff auf ein einzelnes Unternehmen handelte, sondern um eine breitere Kampagne gegen die Ruby-Entwickler-Community.

Mend.io kündigte an, weitere Details veröffentlichen zu wollen, sobald der Vorfall unter Kontrolle ist. Bislang ist die Identität der Angreifer unbekannt. Das Unternehmen, das für die Sicherheit von RubyGems verantwortlich ist, arbeitet an der Behebung des Vorfalls.

Dieser Angriff reiht sich in eine besorgniserregende Trend ein: Supply-Chain-Attacken auf Open-Source-Ökosysteme nehmen kontinuierlich zu. Bekannte Akteure wie TeamPCP haben bereits weit verbreitete Pakete kompromittiert, um Credential-Stealing-Malware zu verteilen – Software, die Zugangsdaten stiehlt und es Angreifern ermöglicht, ihre Reichweite zu erweitern.

Google warnte kürzlich vor der Monetarisierung gestohlener Anmeldedaten. Die Credentials werden in Partnerschaften mit Ransomware- und Datenerpressungs-Gruppen verhandelt. Das bedeutet: Ein kompromittiertes Ruby-Paket kann nicht nur unmittelbare Schäden in Entwicklungsumgebungen anrichten, sondern auch zum Einfallstor für Ransomware-Attacken auf größere Infrastrukturen werden.

Für deutsche Softwareentwickler und Unternehmen ist Vorsicht geboten. Wer Ruby-Abhängigkeiten nutzt, sollte prüfen, ob verdächtige oder neu installierte Pakete in den Build-Prozessen integriert wurden. Das BSI empfiehlt regelmäßige Überprüfungen von Open-Source-Komponenten und deren Quellen. Parallel sollten Sicherheitsmeldungen und Updates von RubyGems beobachtet werden, sobald die Plattform wieder Klarheit über das Ausmaß schafft.

Ähnliche Artikel