Connect with us

Datenschutz & Sicherheit

Bundestag und Bundesregierung erst im Februar vor Attacke gewarnt


Der für Spionageabwehr zuständige Verfassungsschutz (BfV) hat Bundestag und Bundeskabinett erst am 6. Februar vor der laufenden Signal-Phishing-Attacke gewarnt. Das bestätigte ein Sprecher des Bundesinnenministeriums indirekt gegenüber netzpolitik.org.

Die Attacke hatte zuletzt an Brisanz gewonnen, weil herauskam, dass offenbar zwei Bundesministerinnen und die Bundestagspräsidentin auf die Masche hereingefallen sind und damit ihre Accounts gegenüber dem Angreifer offengelegt haben. Sicherheitskreise gehen von rund 300 Betroffenen aus und davon, dass „zahlreiche Signal-Gruppen im parlamentarischen Raum derzeit von den Angreifern nahezu unbemerkt ausgelesen werden“, warnte das BfV in einem Schreiben an die Bundestagsfraktionen.

Nach Informationen von netzpolitik.org läuft die Phishing-Kampagne gegen hochrangige Vertreter:innen aus Politik, Militär und Journalismus allerdings schon mindestens seit September 2025. Sie erreichte laut unseren Recherchen im November und Dezember letzten Jahres einen ersten Höhepunkt, bevor sie sich im Januar ausweitete.

Bekannt wurde die Attacke in Deutschland, als netzpolitik.org am 28. Januar darüber berichtete, dass zahlreiche Journalist:innen im Visier stünden. Gut eine Woche nach dem Bericht warnten dann BfV und das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor der Angriffswelle. Mittlerweile haben die Behörden ein weiteres Update der Warnung samt Handlungsleitfaden veröffentlicht.

Wann wurden die Accounts kompromittiert?

Unbekannt ist bislang, wann Familienministerin Karin Prien (CDU), Bauministerin Verena Hubertz (SPD) und Bundestagspräsidentin Julia Klöckner (CDU) der Phishing-Attacke auf den Leim gingen. Wir haben sowohl den Verfassungsschutz wie auch das BSI, das Bundesinnenministerium sowie das Familien- und Bauministerium gefragt, wann die Beteiligten Opfer der Phishing-Attacke wurden. Doch die angefragten Behörden und Ministerien mauern in dieser Frage.

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Man äußere sich zu etwaigen Betroffenheiten einzelner Personen grundsätzlich nicht, heißt es etwa aus dem Bundesinnenministerium. Das Bauministerium antwortet auf die Frage, wann der Account von Frau Hubertz kompromittiert worden sei, dass es die Annahme der Frage selbst „weder bestätigen noch dementieren“ könne. Der Verfassungsschutz teilt mit, dass er zu „Details, die etwaige nachrichtendienstliche Erkenntnisse oder Tätigkeiten betreffen, grundsätzlich nicht öffentlich Stellung nimmt“. Das Familienministerium ging auf die gestellten Fragen nicht ein, das BSI reagierte gar nicht.

Signal äußert sich zu den Angriffen

Unterdessen hat der Messenger Signal selbst eine Stellungnahme auf Mastodon und Bluesky verbreitet. Darin stellt der Anbieter klar, dass es sich bei dem Angriff nicht um einen „Hack“ handele: Verschlüsselung, Infrastruktur und die Integrität des App-Codes seien nicht beeinträchtigt. Man sei sich aber der Tragweite des Angriffs bewusst und werde in den kommenden Wochen „verschiedene Änderungen“ einführen, um diese Art von Angriffen weiter zu erschweren.

Welche Änderungen das sein werden, ist bislang nicht klar. Denkbar ist etwa, dass die bislang nicht standardmäßig eingeschaltete „Registrierungssperre“ für neue Geräte in Zukunft per default aktiv ist. Signal schreckte vor diesem Schritt in der Vergangenheit zurück, da dieser für Nutzer:innen beispielsweise bei einem Handy-Wechsel als Hürde wahrgenommen würde.

In dem Post erklärte Signal auch erstmals das Vorgehen der Angreifer offiziell:

Laut dem, was uns die Opfer mitgeteilt haben, folgten die Angriffe einem ähnlichen Muster: Nachdem die Angreifer die Nutzer dazu gebracht hatten, ihre Signal-Zugangsdaten preiszugeben, nutzten sie diese, um deren Konto zu übernehmen und änderten häufig auch die zugehörige Telefonnummer. Da eine solche Übernahme zur Abmeldung des Signal-Kontos auf dem Gerät des Opfers führt, bereiteten die Angreifer die Opfer darauf vor, indem sie ihnen mitteilten, die Abmeldung sei beabsichtigt und sie müssten sich lediglich „neu anmelden“ oder ein neues Konto erstellen. Beim Erstellen eines neuen Signal-Kontos – das nun von dem übernommenen Konto getrennt war – glaubten die Opfer, sich wieder in ihr Hauptkonto einzuloggen. Daher bemerkten viele die Übernahme nicht. Die kompromittierten Konten wurden anschließend missbraucht, um die Kontaktlisten der Opfer anzugreifen, indem sich die Angreifer als Kontoinhaber ausgaben.

In der Stellungnahme wiederholte Signal, dass die Nutzer:innen selbst auch wachsam sein müssten: „Denken Sie daran: Niemand vom Signal-Support wird Sie jemals per Nachricht kontaktieren oder nach Ihrem Registrierungs-Verifizierungscode oder Ihrer Signal-PIN fragen.“

Wir sind ein spendenfinanziertes Medium.

Unterstütze auch Du unsere Arbeit mit einer Spende.

Signal-Phishing gegen Julia Klöckner erfolgreich

Viel spricht für Russland als Urheber des Angriffs

Das niederländische Verteidigungsministerium hatte Anfang März verlautbart, dass Russland hinter der laufenden Phishing-Kampagne gegen hochrangige Personen aus Politik, Militär, Zivilgesellschaft und Journalismus stecken soll. BSI und Verfassungsschutz hatten vor den Attacken gewarnt und diese als „wahrscheinlich staatlich gesteuert“ bezeichnet. Die Bundesregierung schreibt den Angriff bislang nicht offiziell einem Land zu, ließ aber über Regierungskreise verbreiten, dass Russland dahinter stecke.

In einer Mitteilung auf der Webseite des niederländischen Verteidigungsministeriums sprechen sowohl der militärische Geheimdienst MIVD als auch der zivile Geheimdienst AIVD von „russischen Staatshackern“, die hinter dem Angriff auf Signal und WhatsApp stecken würden. Auch netzpolitik.org hat Hinweise, welche die Theorie einer russischen Urheberschaft des Angriffs untermauern.

Das Medienhaus Correctiv hatte zudem den Angriff auf den früheren Vizepräsidenten des Bundesnachrichtendienstes, Arndt Freytag von Loringhoven, ausgewertet und ist dabei auch auf digitale Spuren gestoßen, die nach Russland führen.

Eine Auftraggeberschaft des russischen Staates kann dies nicht beweisen. Die eindeutige Zuschreibung ist bei solchen Angriffen in der Regel sehr schwierig, da es viele Faktoren gibt, um die Herkunft eines Angriffs zu verschleiern oder falsche Fährten zu legen. Dazu kommen politische Interessen bei der Zuweisung der Urheberschaft und der Drahtzieher, die sich in einer militärischen Auseinandersetzung wie dem Angriffskrieg gegen die Ukraine noch verschärfen.



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

Krise der Meinungsfreiheit: Die Beleidigten


Schon wieder geht die Polizei auf einer Demonstration wegen einer angeblichen Beleidigung des Bundeskanzlers gegen einen jungen Menschen vor. Solche Maßnahmen beschränken die Versammlungs- und Meinungsfreiheit. Eine Analyse.

Krise der Meinungsfreiheit: Die Beleidigten
Schilder wie dieses gab es auf mehreren Demonstrationen gegen die Wehrpflicht. – Alle Rechte vorbehalten: IMAGO / Stefan Trappe

8. Mai 2026, in München demonstrieren junge Menschen gegen die Wehrpflicht. Eine 20-jährige Schülerin trägt ein Plakat mit der Aufschrift „Friedrich stirb doch selber an der Ostfront!“. Unter Einsatz von Gewalt und sogar Schlagstöcken bahnen sich Polizist:innen einen Weg zu der Schülerin, um ihre Personalien aufzunehmen. Das Plakat stellt angeblich eine Beleidigung des Bundeskanzlers dar, die Polizei verkündet später, ein Ermittlungsverfahren gegen die Schülerin einzuleiten.

Man muss kein Jurist sein, um zu sehen, dass es sich hier wohl kaum um eine Straftat handelt. Es ist weder eine Beleidigung noch eine gegen Personen des politischen Lebens gerichtete Beleidigung, üble Nachrede und Verleumdung noch eine Bedrohung des Kanzlers. Es ist der patzige Spruch: „Geh doch selber an die Front“ – um die Konsequenz ergänzt, was Wehrpflicht und Militärdienst nämlich ultimativ bedeuten können: im Krieg zu sterben.

Wir sehen hier eine zugespitzte, klare und harte Kritik daran, dass die Regierung über das Leben, Schicksal und im Zweifelsfall den Tod von jungen Menschen entscheidet. Es ist eben nicht der mächtigste Mann des Landes, der bei einem Militäreinsatz sterben wird, sondern es sind die jungen Menschen, die er dorthin schickt.

Keine Straftat

Ronen Steinke hat in der Süddeutschen Zeitung (€) den Fall eingehend analysiert. Er schreibt:

Der Kontext ist wichtig. Wie immer bei Äußerungen. Und eine Debatte, die von Krieg und Frieden handelt, also letztlich von Leben und Tod, wird unweigerlich immer einen anderen sprachlichen Klang haben als eine Debatte, die von Kultur- oder Steuerpolitik handelt. Das darf sich – darauf weist das Bundesverfassungsgericht in seinen Entscheidungen immer wieder hin – natürlich nicht nur in der Sprache der Regierenden spiegeln, die etwa von „Kriegstüchtigkeit“ sprechen. Sondern auch in der Sprache der Kritiker dieser Regierung. Auch sie müssen nicht zartere Worte wählen. Man darf die Dinge, die einen umtreiben und besorgt stimmen, schon beim Namen nennen.

Es ist nicht das erste Mal, dass die Polizei gegen Wehrpflicht-Proteste mit Härte vorgeht. Die Berliner Polizei hat im März bei einer Schüler-Demo bei einem 18-jährigen das Plakat „Merz leck Eier“ konfisziert, die Personalien des Jungen aufgenommen und Ermittlungen wegen des Anfangsverdachts der „Gegen Personen des politischen Lebens gerichteten Beleidigung, üblen Nachrede und Verleumdung“ eingeleitet.

Chilling Effect

Auch wenn die repressive Aktion nach hinten losging und zahlreiche Memes, Wiederholungen, Remixe und Songs auslöste, die millionenfach verbreitet wurden, ist die Message an Protestierende klar: Wir prüfen jedes eurer Plakate und gehen gegen euch öffentlichkeitswirksam und notfalls auch mit Gewalt vor. Passt auf, was ihr tut.

Aus Perspektive von Meinungs- und Versammlungsfreiheit passiert dabei das, was man im englischen „Chilling Effect“ nennt. Solche repressiven Maßnahmen führen in der Regel dazu, dass Menschen davor scheuen, zu sagen, was sie sagen wollen, weil sie Konsequenzen fürchten. Die Maßnahmen haben also beschränkende Auswirkungen auf die Freiheit aller. Im deutschen Sprachgebrauch spricht man auch von Abschreckungseffekten und Einschüchterung.

Moderne Majestätsbeleidigung

Die Fälle der Einschränkung der Meinungsfreiheit auf Demonstrationen reihen sich eine in eine generelle Tendenz zur Verschärfung im Umgang mit Meinungsäußerungen. Sie geschehen vor dem Hintergrund einer Verschlechterung des Debattenklimas und einer Zunahme von  Hass, Hetze und Desinformation, die mit dem Erstarken der rechtsradikalen AfD zusammenhängt.

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Jetzt abonnieren

So wurde der Paragraf 188 des Strafgesetzbuches im Zuge dieser Entwicklung und unter dem Eindruck der Ermordung des CDU-Politikers Walter Lübcke durch einen AfD-Anhänger im Jahr 2020 verschärft und um den Straftatbestand der Beleidigung erweitert. Beleidigung, üble Nachrede und Verleumdung, die sich gegen Personen des politischen Lebens richtet kann damit härter bestraft werden als die Beleidigung oder Verleumdung normaler Bürger:innen.

Gesetze, die bestimmte Personengruppen höherstellen als andere, gibt es auch im Zusammenhang mit tätlichen Angriffen auf Vertreter:innen der Polizei und neuerdings auch von Rettungsdiensten. Derartige Regelungen stehen im Konflikt mit der Idee eines Rechtsstaates, der die Gleichbehandlung aller Menschen ja als einen elementaren Grundsatz hat.

Zurück zu den Beleidigungen: So richtig und wichtig die Absicht gewesen sein mag, beispielsweise Kommunalpolitiker:innen vor den zunehmenden rechtsradikalen Angriffen in Schutz zu nehmen, so falsch hat sich die Sache in der Realität entwickelt. Das Gesetz wird seit der Einführung rege genutzt. Schon im Jahr 2021 waren es 748 Fälle, im Jahr 2023 dann schon 2.598  und im letzten Jahr 4.792 Ermittlungsverfahren.

Das liegt laut Ronen Steinke auch daran, dass die Schwelle, was als Beleidigung gilt, bei den Betroffenen, aber auch Polizei und Justiz in den letzten Jahren offenbar deutlich niedriger geworden ist. Die Fälle harmloser Plakate auf den Demonstrationen, aber ebenso die Verfolgung von „Beleidigungen“ wie „Lügenfritz“ oder „Lackaffe“ zeigen diese Tendenz. Die Sensibilität ist nicht nur auf Friedrich Merz beschränkt: Der Grünen-Politiker Robert Habeck ließ die Bezeichnungen „Vollpfosten“ und „Schwachkopf“ verfolgen, auf „Du bist so 1 Pimmel“ gegen den Hamburger SPD-Innensenator Andy Grote löste eine Hausdurchsuchung aus und auch die rechtsradikale Alice Weidel nutzt den Paragrafen munter.

Merz widerspricht Ermittlungen nicht

Die Einschränkungen der Meinungsfreiheit geschehen nicht nur auf Demonstrationen, sondern, wie Ronen Steinke in seinem Buch und einem Gastartikel bei netzpolitik.org beschrieben hat, auch im Internet. Generell scheint es mittlerweile ein Schieflage zu geben, welche die Meinungsfreiheit über das Mittel der Beleidigung und hier speziell den §188 einschränkt und einschüchernde Effekte hat.

Durch Recherchen verschiedener Medien kam schon im vergangenen Jahr heraus, dass Merz seit 2021 – noch als Oppositionsführer der Union – zahlreiche Strafanträge wegen mutmaßlicher Beleidigungen gegen ihn gestellt hat. In mindestens zwei Fällen führten diese zu Hausdurchsuchungen.

Die Strafanträge sind laut der Recherchen anfangs auf Initiative von Merz entstanden. Seit Merz Kanzler ist, lässt er quasi von Amts wegen ermitteln, indem er den Ermittlungen nicht widerspricht. Die „Welt“ geht davon aus, dass Merz vor seiner Amtszeit als Unions-Chef Hunderte Strafanträge gestellt hat.

Ein netzpolitik.org vorliegendes Dokument der Kanzlei Brockmeier, Faulhaber, Rudolph, die Merz in seiner Zeit als Bundestagsabgeordneter vertreten hat, untermauert diese Schätzungen mit fortlaufenden Fallnummern. Zwischen Mai und Dezember des Jahres 2025 sind laut Informationen des nd etwa 170 Strafanzeigen wegen Beleidigung des Bundeskanzlers gestellt worden.

Wir sind ein spendenfinanziertes Medium.

Unterstütze auch Du unsere Arbeit mit einer Spende.

Jetzt spenden

Machtgefälle ignoriert

Hier läuft ein Instrument, das Politiker:innen vor Hass und Hetze schützen soll, mittlerweile vollkommen aus dem Ruder. Natürlich müssen sich auch Politiker:innen nicht alles gefallen lassen und bei Bedrohungen hört jeder Spaß auf. Dennoch sollte man bei Beleidigungen auch das Machtgefälle, die Privilegien und die Reichweite der Beteiligten berücksichtigen.

Was sind ein einsamer pensionierter Wüterich im stillen Kämmerlein oder ein 18-jähriger Schüler im Vergleich zum Bundeskanzler? Wer hat hier welche Handlungsoptionen? Und kann es nicht sein, dass viele der heutigen Nutzer:innen gar nicht mehr den Unterschied zwischen dem privaten Raum, der Kneipe, dem Gespräch mit Kollegen – und dem Post auf Bluesky oder Facebook an 128 Follower:innen sehen? Ist diese Öffentlichkeit wirklich gleichwertig, mit der, die ein Spitzenpolitiker herstellen kann?

Das alles sind Fragen, die sich diejenigen stellen sollten, die strafrechtlich gegen Beleidigungen vorgehen.

Der Eifer, den Merz bei der Verfolgung von Beleidigungen zeigt, passt jedenfalls gut in eine Zeit der autoritären Verschiebung, in der sich die Bundesregierung von Rechtsradikalen vor sich hertreiben lässt und selbst die Axt an der demokratischen Zivilgesellschaft ansetzt.

Die verlogenen Freunde der Meinungsfreiheit

Ausgerechnet die rechtsradikale AfD versucht sich nun auf das Thema draufzusetzen und sich als Kämpferin für die Meinungsfreiheit zu inszenieren. Sie fordert die Abschaffung des Paragrafen 188 StGB. Dabei ist klar, dass die Partei selbst immer wieder gegen die Meinungs- und Pressefreiheit vorgeht, indem sie beispielsweise mit Hass und Häme gegen Journalist:innen agiert.

Kritische Berichterstattung zur AfD führt bei verschiedenen Medien regelmäßig dazu, auch in E‑Mails und Leserkommentaren hier bei netzpolitik.org, dass Autor:innen beleidigt, eingeschüchtert und mit dem Tod bedroht werden. Ein Eintreten für die Meinungsfreiheit sieht anders aus und wer rechtsradikale Regierungen im Amt sieht, ob nun in den USA, Polen oder Ungarn, der weiß, dass die Meinungs- und Pressefreiheit von diesen als Erstes attackiert wird.

Die AfD-Position ist dabei heuchlerisch. Die AfD-Vorsitzende Alice Weidel hat selbst hunderte Anzeigen nach dem Paragrafen 188 gestellt, den sie jetzt wieder abschaffen will. Und auch der AfD-Mann Stephan Brandner, der in der gestrigen Bundestagssitzung den Paragrafen heftig kritisierte, ließ mit eben jenem zuletzt einen Rentner verfolgen, der ihn „Schrumpfpimmel“ genannt hatte.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.





Source link

Weiterlesen

Datenschutz & Sicherheit

Ivanti Sentry: Verwirrung um Status von kritischem Befehlsschmuggel-Leck


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Heckmeck um Sicherheitslücken mit Höchstwertung des Risikos in Ivantis Sentry: Die CISA und einige IT-Sicherheitsunternehmen warnen vor laufenden Angriffen. Ivanti wiegelt ab, es handele sich nur um Honeypots.

Weiterlesen nach der Anzeige

Während die CISA die fragliche Lücke in den „Known-Exploited-Vulnerabilities“-Katalog (KEV) aufgenommen hat, hat Ivanti mit einer Aktualisierung der eigenen Sicherheitsmitteilung reagiert. Konkret geht es um eine Schwachstelle in Sentry, durch die Angreifer aus dem Netz ohne vorherige Anmeldung Befehle ins Betriebssystem schmuggeln und damit beliebigen Code mit root-Rechten ausführen können (CVE-2026-10520, CVSS 10.0, Risiko „kritisch“). Eine zweite Sicherheitslücke ermöglicht die Umgehung der Authentifizierung – bösartige Akteure aus dem Netz können ohne vorherige Anmeldung beliebige Administratorkonten erstellen und damit vollen Admin-Zugang erlangen (CVE-2026-10523, CVSS 9.9, Risiko „kritisch“).

Betroffen ist die VPN-ähnliche Sicherheits-Gateway-Lösung in den Versionen 10.5.1, 10.6.1, 10.7.0 und älteren. Die bereitstehenden Aktualisierungen auf die Versionen 10.5.2, 10.6.2 und 10.7.1 bessern die Schwachstellen aus.

Exploit-Code öffentlich verfügbar

Die IT-Sicherheitsforscher der watchTowr Labs haben einen Proof-of-Concept-Exploit veröffentlicht, der den Missbrauch der beiden Lücken demonstriert. Auch Rapid7 schließt in einer eigenen Analyse, dass sie wüssten, dass Angreifer das Produkt wahrscheinlich angreifen werden, da in der Vergangenheit mehrere Sentry-Lücken im CISA-Katalog der missbrauchten Schwachstellen gelandet sind.

Ivanti hat auf die Angriffsmeldungen reagiert. In der Sicherheitsmitteilung steht noch immer, dass Ivanti von keinen Missbrauchsfällen vor der Veröffentlichung der Meldung wüsste. Es gebe keinen öffentlichen Missbrauch der Schwachstelle, weshalb das Unternehmen auch keine Hinweise auf erfolgreiche Angriffe (Indicators of Compromise, IOC) geben könne. Die CISA habe die Lücke in den KEV aufgenommen, da es Berichte über Angriffsversuche auf Honeypots gebe. Zur Einschätzung sei wichtig zu wissen, dass der Missbrauch der Lücke CVE-2026-10520 Zugriff auf den Managementport 8443 benötige. Und Management-Interfaces sollten ohnehin niemals im Internet zugänglich sein, auch wenn Honeypots derartige Fehlkonfigurationen simulieren, um bösartiges Verhalten zu erkennen.

Die Einschätzung dürfte aber bereits überholt sein. Die Shadowserver Foundation teilt auf X mit, dass ihre Scans 19 verwundbare Instanzen entdeckt habe, von denen mindestens zwei bereits mit Backdoors kompromittiert seien. Die IT-Forscher gehen davon aus, dass die anderen Instanzen inzwischen ebenfalls Angreifern zum Opfer gefallen sind.

Admins sollten sich von der Beschwichtigung nicht abhalten lassen, die verfügbaren Updates schnellstmöglich zu installieren.

Weiterlesen nach der Anzeige

Am Donnerstag wurden weitere Sicherheitslücken in Ivantis Endpoint Manager Mobile bekannt. Sie gelten als hohes Risiko, Admins sollten auch hier rasch die Aktualisierungen anwenden.


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Angriffswelle auf Arch Linux: Hunderte Paketbeschreibungen mit Malware im AUR


Das Arch User Repository (AUR) sieht sich einer umfangreichen Angriffswelle ausgesetzt. Die Angreifer haben Hunderte verwaiste Paketdefinitionen übernommen, um Malware ergänzt und in neuen Versionen veröffentlicht. Die Arch-Maintainer steuern mit einem Meldeaufruf und einer groß angelegten Lösch-Aktion gegen, um bösartige Updates zu entfernen und von den Angreifern genutzte Accounts zu sperren.

Weiterlesen nach der Anzeige

Das AUR von Arch Linux enthält keine Pakete im engeren Sinne, sondern Beschreibungen, sogenannte PKGBUILDs, mit denen Nutzer die Pakete selbst bauen können. Wenn eine Beschreibung offenbar nicht mehr gewartet wird, können Nutzer dies melden und sie wird nach einer Weile als verwaist markiert. Dann können beliebige Nutzer die Paketbeschreibung „adoptieren“ und ihre Wartung übernehmen.

Diesen Mechanismus nutzten die Angreifer aus: Sie übernahmen solche verwaisten Beschreibungen, ergänzten sie um eine Abhängigkeit für den JavaScript-Paketmanager npm und fügten einen Schritt nach der eigentlichen Software-Installation hinzu, der das npm-Paket „atomic-lockfile“ auf das System brachte. Atomic-Lockfile enthielt wiederum einen Prä-Installationsschritt, den npm befolgte und dabei die im npm-Paket mitgelieferte Datei „deps“ ausführte. Bei deps handelt es sich einer ersten (KI-gestützten) Analyse zufolge um einen Credential-Stealer, eine Malware, die diverse Arten von Zugangsdaten ausliest und an den Angreifer ausleitet. „deps“ kann sich außerdem im System festsetzen, bei ausreichenden Rechten die eigene Präsenz verschleiern und weitere Software nachladen.

AUR-Software wird nicht geprüft

Die Angriffswelle ist ein guter Anlass, darauf hinzuweisen, dass das Arch User Repository keine offizielle Softwarequelle für Arch Linux ist. PKGBUILDs werden vom Arch-Team nicht geprüft. AUR-Nutzer handeln auf eigenes Risiko, wenn sie Software aus dem AUR installieren, und sollten jedes Update selbst prüfen.

Allerdings wird Software aus dem AUR oft mit darauf spezialisierten Programmen installiert, sogenannten AUR-Helpern. Diese Hilfsprogramme automatisieren die mitunter komplizierten Bauschritte (AUR-Software wird oft beim Nutzer aus dem Quellcode kompiliert), sodass Nutzer weder Zeit noch spezielle Kenntnisse zur Installation benötigen. Das ist praktisch, verleitet aber dazu, Updates unbesehen durchzuwinken, weil der AUR-Helper ohnehin alle nötige Arbeit übernimmt oder man die vom Update vorgenommenen Änderungen schlicht nicht versteht.

In der aktuellen Angriffswelle kam hinzu, dass die Änderungen in den PKGBUILDs selbst nur die Inklusion von npm und atomic-lockfile auswiesen. Je nach betroffener Software muss eine Abhängigkeit von npm nicht verdächtig erscheinen. Nutzer benötigen zumindest rudimentäre Kenntnisse der Softwareentwicklung, um npm als deplatziert zu erkennen oder atomic-lockfile nachzuspüren und dort die eigentliche Malware zu entdecken.

Weiterlesen nach der Anzeige

Arch-Nutzer, die sich dergleichen nicht zutrauen, sollten idealerweise keine Software aus dem AUR installieren. Grundsätzlich sollten AUR-Nutzer die zugehörige Mailingliste abonnieren, um Malware-Warnungen mitzubekommen, worauf auch das Arch-Wiki hinweist.


(syt)



Source link

Weiterlesen

Beliebt