NERDMANHacker vergiften Open-Source-Tools — tausende Firmen bestohlen
Zwei Angriffe im März haben beliebte Open-Source-Tools mit Malware infiziert. Betroffen: Trivy und Axios. Die Angreifer klauten Secrets aus zehntausenden Organisationen.
Was passiert ist
Zwei unterschiedliche Angreifer haben unabhängig voneinander zugeschlagen. Sie haben sich in die Supply Chain geschlichen — also in die Software-Lieferkette, der Entwickler blind vertrauen. Der Trick: Du lädst ein Update runter, das du für sicher hältst. Drin steckt Malware.
Zahlen, die wehtun
- 2** — unabhängige Angriffe im selben Monat
- Zehntausende** — betroffene Organisationen, mindestens
- Monate** — bis der volle Schaden bekannt sein wird
- Millionen** — Entwickler nutzen Trivy und Axios weltweit
So funktioniert der Angriff
Die Angreifer manipulierten die Pakete direkt an der Quelle. Jede Firma, die das Tool aktualisiert hat, holte sich die Malware ins Haus. Die gestohlenen Secrets — API-Keys, Zugangsdaten, Tokens — wanderten direkt zu den Angreifern.
💡 Was das bedeutet
Das ist kein theoretisches Risiko mehr. Supply-Chain-Angriffe sind die neue Normalität. Wer keine SBOMs (Software Bill of Materials) führt, weiß nicht mal, ob er betroffen ist — und merkt den Einbruch erst, wenn es zu spät ist.
Pro: Open Source
- Transparenter Code, Fehler werden gefunden
- Community kann reagieren und patchen
Con: Open Source
- Blindes Vertrauen in Updates ist gefährlich
- Keine zentrale Sicherheitskontrolle
- Ein kompromittiertes Paket trifft sofort tausende
Die unbequeme Wahrheit
Die Software-Industrie baut auf Vertrauen. Du vertraust npm, PyPI, GitHub. Zwei Typen haben gezeigt, wie dünn dieses Eis ist. Und das Schlimmste: Wir wissen noch nicht, wie viele Firmen wirklich betroffen sind.