War jQuery.com Ziel eines Hackerangriffs?
Kommentare

Einem Bericht von RiskIQ zufolge war jQuery.com letzte Woche von Angreifern kompromittiert worden: Durch einen unsichtbaren iframe wurden Besucher der Website mit dem Download des RIG Exploit Kits beglückt.

Einem Bericht von RiskIQ zufolge war jQuery.com letzte Woche von Angreifern kompromittiert worden: Durch einen unsichtbaren iframe wurden Besucher der Website mit dem Download des RIG Exploit Kits beglückt. Obwohl das Team von jQuery keine Beweise für finden konnte, dass die Server wirklich kompromittiert wurden, hat es schnell reagiert – und damit womöglich einen größeren Schaden verhindert.

jQuery.com kompromittiert?

Bereits am 18. September hatte das Sicherheitsunternehmen RiskIQ den Angriff auf jQuery.com registriert. Nutzer, welche die Seite im Browser aufriefen, fingen sich über einen unsichtbaren iframe das RIG Exploit Kit ein. Dieses erstmals im April 2014 entdeckte Exploit Kit ist vor allem darauf spezialisiert, wichtige Informationen wie beispielsweise Bankdaten zu stehlen.

Nach weiteren Analysen hatte sich das Team kurze Zeit später mit den Betreibern von jQuery.com in Verbindung gesetzt, um weitere Schritte einzuleiten.

Eine detaillierte Analyse des Drive-by Download Incidents auf jQuery.com findet man in der ausführlichen Analyse von RiskIQ. Und in der Tat scheint einiges dafür zu sprechen, dass die Domain jQuery.com kompromittiert wurde.

At no time have the hosted jQuery libraries been compromised

Beide Parteien – sowohl das Team von jQuery.com als auch RiskIQ – betonen, dass die JavaScript-Bibliothek jQuery nicht kompromittiert wurde; lediglich der Server sei von dem Angriff betroffen gewesen. Doch selbst dabei scheint man sich bei den Betreibern von jQuery.com nicht sicher zu sein:

RiskIQ was able to make contact with the jQuery Infrastructure team on September 18th, at which point with members of the RiskIQ team tried to find evidence of compromise. So far the investigation has been unable to reproduce or confirm that our servers were compromised. We have not been notified by any other security firm or users of jquery.com confirming a compromise. Normally, when we have issues with jQuery infrastructure, we hear reports within minutes on Twitter, via IRC, etc.

Dennoch habe man sofort alle notwendigen Schritte unternommen, um sicherzustellen, dass die Server wieder sauber und sicher seien. Was natürlich nur ein schwacher Trost für all jene ist, die vielleicht von dem Drive-by Download betroffen sind.

Die nächsten Schritte

Wer also am Donnerstag, den 18. September, Abends (die oben verlinkte Analyse lässt auf ca. 19 Uhr schätzen – wie lange da der Drive-by schon aktiv war, ist allerdings fraglich) auf jquery.com war, sollte sich ein Herz fassen und den Tipps von RiskIQ folgen:

  • Das System neu aufsetzen
  • Passwörter für User-Accounts zurücksetzen, die seitdem auf dem System genutzt wurden
  • Das System auf verdächtige Aktivitäten beobachten

Open-Source-Websites, gerade von großen Projekten wie jQuery, sind natürlich ein lohnendes Ziel für Angreifer – sie besitzen eine immense Verbreitung und ziehen dadurch auch über einen kurzen Zeitraum viele Besucher an.

Jetzt heißt es also nachzudenken, was man am 18. September getan hat.

Aufmacherbild: Sneaky Thief von Shutterstock / Urheberrecht: Zoran Milic

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -