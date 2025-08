Strider's Bericht – Lying in Wait: Understanding the Contributors Behind Open Source Code – beschreibt, wie OSS-Plattformen zunehmend von APT-Gruppen (Advanced Persistent Threat) auf Contributor-Ebene als Waffe eingesetzt werden. Durch subtile Code-Beiträge, das Einfügen von Hintertüren und die Ausnutzung vertrauenswürdiger Softwarekomponenten können diese Akteure Bedrohungen in Software-Pipelines einbetten, die von Unternehmen, Entwicklern und Regierungen gleichermaßen genutzt werden.

„Open-Source-Softwareplattformen sind das Rückgrat der heutigen digitalen Infrastruktur, doch in vielen Fällen ist nicht einmal klar, wer den Code einreicht", sagte Greg Levesque, CEO und Mitbegründer von Strider. „Im Gegenzug nutzen Nationalstaaten wie China und Russland diese Sichtbarkeitslücke aus. Einzelpersonen liegen auf der Lauer und bauen sich im Ökosystem Glaubwürdigkeit auf, um dann mit verheerenden Folgen für nachgelagerte Systeme bösartigen Code einzuschleusen. Unsere Untersuchungen zeigen, dass Unternehmen nicht nur darauf achten müssen, was der Code tut, sondern auch, wer ihn beigesteuert hat, um fundierte Entscheidungen über die Vertrauenswürdigkeit ihrer Systeme treffen zu können."

Staatlich geförderte Cyber-Bedrohungsgruppen wie APT41 (VR China), Lazarus Group (Nordkorea) und Cozy Bear (Russland) haben OSS-Plattformen ausgenutzt, um die strategischen Ziele ihrer Regierungen voranzutreiben. Diese Akteure sind zu aktiven Mitwirkenden geworden, die die Offenheit dieser Plattformen ausnutzen, um in die Software-Lieferkette einzudringen, sensible Daten zu stehlen und langfristige Cyber-Spionage-Kampagnen zu ermöglichen. Mehrere hochkarätige Vorfälle in den letzten Jahren – wie der Angriff auf die Lieferkette des Python Package Index (PyPl), die Ausnutzung der Log4Shell-Sicherheitslücke und der XZ Utils-Backdoor-Vorfall – verdeutlichen diesen Trend.