Cybercrime Curiosities Part 3: Das colors.js-Desaster
Hier liest du einen Artikel aus unserer Reihe Cybercrime Curiosities. Lust auf weitere obskure und schockierende FÀlle von Cyberattacken? Dann schmöker doch mal rein: Der Fisch, der zu viel wusste, Cyberangriff legt FlughÀfen lahm.
Protestware sorgt fĂŒr Farbenchaos
Den Stein ins Rollen brachte ein unscheinbares Werkzeug namens colors.js. Das ist eine kleine Softwarebibliothek, die Programmierern hilft, Text in Konsole und im Terminal bunt und ĂŒbersichtlich darzustellen. Fast jeder, der mit sogenannten Node.js-Anwendungen arbeitet, hatte das Paket im Einsatz â und das weltweit.
Doch urplötzlich, am 8. Januar 2022, war Schluss mit der Routine: Programme, die normalerweise nĂŒchtern Zahlen oder Hinweise ausgaben, schienen wie im Farbrausch zu sein. Sie liefen endlos, statt wie gewohnt ihren Dienst zu tun. Was war der Grund fĂŒr diese kollektive Fehlfunktion? Experten vermuteten einen Softwarefehler, einen Cyberangriff, vielleicht sogar einen bösartigen Hack.
Wie ein Entwickler das Ăkosystem erschĂŒtterte
Was folgte, war Detektivarbeit quer durch die IT-Welt. Ein Hackerangriff schien zuerst am wahrscheinlichsten. Nach kurzer Zeit wurde jedoch ermittelt, dass der Maintainer â also der Hauptverantwortliche fĂŒr das Paket â selbst hinter der Aktion steckte. Sein Name: Marak Squires.
Squires hatte nicht einfach einen Bug eingebaut. Er hatte absichtlich eine Endlos-Schleife in die Software gepackt, die fĂŒr Chaos sorgte. Warum sabotiert jemand sein eigenes Programm? Die Antwort wirkt ernĂŒchternd: Squires war frustriert darĂŒber, dass groĂe Konzerne seine kostenlose Arbeit nutzten, ohne sich an den Kosten oder der Pflege zu beteiligen oder ihm etwas zu spenden â also zog er die ReiĂleine. Ein Pfeil mitten in das Herz von Open Source.
Faker.js und der Protest gegen GroĂkonzerne
Das Farbspektakel war aber nur der Startschuss. Direkt danach zeigte Squires auch beim zweiten seiner populĂ€ren Projekte klare Kante: faker.js. Dieses kleine Paket erzeugt automatisch Fantasiedaten â perfekt zum Testen von Software, ohne gleich echte Adressen und Namen zu benutzen.
Auch hier wurde kurzerhand die Schnittstelle sabotiert, sodass nichts mehr funktionierte wie gewohnt. Klar, der Protest richtete sich gegen Tech-Giganten und unzÀhlige Firmen, die Open Source zu selbstverstÀndlich einsetzten.
Kuriose Details: Endlosschleifen und die amerikanische Flagge
Die Software zauberte endlose, fast psychedelische Zeichenketten ins Terminal â und mittendrin die amerikanische Flagge oder kryptische Botschaften im sogenannten âZalgoâ-Stil. Wer auf GitHub nach Hilfe suchte, stieĂ auf philosophische Fragen und Anspielungen, etwa: âWas ist eigentlich aus Aaron Swartz geworden?â (Eine Ikone des freien Internets.) Das World Wide Web lachte, staunte und Ă€rgerte sich.
Was ist Protestware?
Was steckt eigentlich hinter Protestware? Anders als klassische Cyberangriffe wollen Entwickler mit Protestware nicht mutwillig Schaden anrichten oder sich bereichern. Sie nutzen ihr Wissen, um die Gemeinschaft auf MissstÀnde aufmerksam zu machen.
Protestware im Open Source: Ursachen, Motive, Folgen
Oft geht es ums Geld, manchmal um Ethik, manchmal einfach um Gehör. Viele Open Source-Entwickler investieren unzĂ€hlige Stunden, wĂ€hrend groĂe Unternehmen kostenlos von ihrer Arbeit profitieren. Das Ziel von Protestware ist, Aufmerksamkeit zu schaffen. FĂŒr Nutzer kann das zum Albtraum werden: Plötzlich laufen Programme nicht mehr, Fehler jagt Fehler, und die Ursache ist schwer zu finden.
Auch andere FĂ€lle sorgten fĂŒr Furore:
- node-ipc
Der Maintainer sorgte 2022 fĂŒr Schlagzeilen, indem er Code einschleuste, der gegen Computer mit russischer oder belarussischer Zeitzone protestierte â als Reaktion auf politische Entwicklungen. Ein konkretes Zeichen der politischen Haltung, mit unmittelbaren Auswirkungen auf die Nutzer. - es5-ext
Der Entwickler dieses weitverbreiteten Pakets baute eine Protestnachricht in den Code, die fĂŒr âpeace not warâ auf Computern auslieĂ, die auf russische Zeitzonen eingestellt waren. Zwar war die Aktion harmlos â sie machte aber klar, wie schnell ein Maintainer sein Projekt zum Sprachrohr machen kann. - event-stream
Hier war weniger Protest, sondern mehr politische Motivation im Spiel: Ein ehemaliger Mitentwickler mischte schĂ€dlichen Code fĂŒr Krypto-Diebstahl in das Paket, um auf MissstĂ€nde in der Open-Source-Sicherheitskette hinzuweisen â ein Fall, der zeigte, wie dĂŒnn die Linie zwischen Protest und gefĂ€hrlicher Manipulation im Software-Ăkosystem sein kann.
Die kuriosesten Reaktionen aus der Entwickler-Community
Das Netz ist ein bunter Ort â und die Farben-Attacke erzeugte eine der buntesten Debatten ĂŒberhaupt. Einige Entwickler kommentierten lakonisch: âSo hat mein Terminal noch nie geglĂ€nzt.â Andere schimpften wie Rohrspatzen â und lieĂen ihrer Frustration ĂŒber die Ausnahmesituation freien Lauf.
Von Ironie bis Empörung: Was die Community sagte
Die Community war zwischen Bewunderung fĂŒr die kreative Rebellion und handfester Empörung hin und hergerissen. Slogans, Memes, hitzige Diskussionen auf Twitter und in Foren â jede Meinung war vertreten. Manche lobten Mut und KreativitĂ€t, andere warnten vor KollateralschĂ€den und der Gefahr, dass kĂŒnftig Entwickler und Firmen durch solche Aktionen misstrauischer gegenĂŒber Open Source werden könnten. Verwiesen wurde darauf, dass Programmierer von Open Source damit rechnen mĂŒssen, eben nicht mit Einnahmen durch diese Arbeit rechnen zu können.
Lehren aus dem Protestware-Vorfall
Nachdem der Skandal abebbte, begann die Szene zu diskutieren: Was lernen wir daraus? Dass Software keine EinbahnstraĂe ist? Dass Maintainer nicht beliebig belastet werden dĂŒrfen, ohne UnterstĂŒtzung? Dass gute Kommunikation und WertschĂ€tzung kein Luxus sind?
Supply Chain Risiken und Software-Maintenance
Gerade der Fall colors.js zeigt, wie verwundbar die sogenannte Software Supply Chain ist: Ein einzelnes Paket-Update reicht, um den Betrieb tausender Anwendungen zu crashen. Wer Software in Projekten nutzt, sollte nicht jedes Update blind einspielen und immer ein Auge auf die Herkunft und Pflege der Bausteine haben â und Maintainer öfter mal ein Dankeschön oder einen Sponsor-Coffee spendieren. Entwickler sollten bewusster mit AbhĂ€ngigkeiten umgehen und offen fĂŒr Dialog zu sein. Open Source lebt von Gemeinschaft.
Eine der wichtigsten Konsequenzen aus dem colors.js Vorfall fĂŒr Unternehmen und Entwickler ist der Blick auf Alternativen zu colors.js nach dem Skandal. Viele wechselten zu Bibliotheken wie âchalkâ oder âkleurâ, andere setzten auf eigene Lösungen oder Forks â alles mit dem Ziel, mehr Kontrolle und Cybersicherheit in der Software Supply Chain zu bekommen.
Der colors.js Protestware-Skandal als Weckruf
Am Ende bleibt die Geschichte ein denkwĂŒrdiges Beispiel fĂŒr den Wandel im Umgang mit Open Source. Nicht immer ist alles âfor freeâ â manchmal kostet ein Farbtupfer eben doch mehr als ein Mausklick. Wer Software entwickelt oder nutzt, sollte nicht nur an die Technik denken, sondern auch an die Menschen dahinter. Denn manchmal steckt hinter einer bunten Fehlermeldung weit mehr als nur ein Bug.