Lieferkette und Open Source
Vom XZ-Backdoor zum Slopsquatting
Worum es in dieser Folge geht
Zwei Geschichten, ein gemeinsamer Nenner. Die erste ist eine Detektivgeschichte mit zwei Jahren Vorlauf — das XZ-Utils-Backdoor von 2024. Die zweite ist ein KI-Phänomen, das es ohne Frontier-Modelle nicht geben würde — Slopsquatting. Beide zeigen dieselbe fundamentale Verwundbarkeit: Vertrauen in Open Source war eine implizite Hypothese — sie ist gebrochen und muss durch explizite Mechanismen ersetzt werden.
XZ Utils — die Anatomie eines zwei-Jahres-Sock-Puppets
XZ Utils ist eine Compression-Library, geschrieben vom finnischen Entwickler Lasse Collin, gelinkt von OpenSSH und damit auf praktisch jedem Linux-Server der Welt. Robert fasst die Anatomie zusammen. Im Januar 2021 erstellt jemand mit Pseudonym Jia Tan ein GitHub-Konto. Erste Commits sind klein und legitim — Vertrauensaufbau. Im Frühjahr 2022 erste echte Beiträge zum XZ-Projekt. Parallel tauchen weitere Accounts auf — Jigar Kumar, Dennis Ens —, die Collin in Diskussionen unter Druck setzen: er sei zu langsam, das Projekt brauche einen neuen Maintainer. Im Januar 2023 bekommt Jia Tan Maintainer-Rechte. Dann beginnt die eigentliche Operation. Juli 2023: Jia Tan reicht einen Pull Request bei Googles OSS-Fuzz ein, der das Fuzzing von XZ effektiv deaktiviert — vermutlich, damit die geplante Backdoor nicht entdeckt wird. Februar 2024: Die Backdoor selbst landet versteckt in zwei Test-Files. Versionen 5.6.0 und 5.6.1 werden von Debian, Gentoo, Arch, Fedora, openSUSE übernommen.
Chris erklärt die Backdoor-Technik. Sie nutzt die ifunc-Mechanik von glibc — eine Funktion, die zur Laufzeit verschiedene Implementierungen je nach CPU wählt. Die Backdoor hooked sich in RSA-Public-Key-Decoding ein und ermöglicht Authentication Bypass bei SSH-Logins, aktiv nur wenn ein bestimmter Crypto-Key des Angreifers mitgeschickt wird. Backdoor-as-a-Service in Open Source.
Am 29. März 2024 entdeckt Andres Freund, PostgreSQL-Entwickler bei Microsoft, die Anomalie. Sein SSH-Login zu einer Test-Maschine braucht eine halbe Sekunde zu lange. Er profiliert mit Valgrind, perf, langsame Detektivarbeit — und findet die Backdoor. Meldung auf der oss-security-Mailing-Liste, CVE-2024-3094, CVSS 10.0, das maximal mögliche Rating. Distributionen ziehen die infizierten Versionen innerhalb von Stunden zurück. Die Backdoor wurde nicht in Produktion ausgebeutet, soweit man weiss. Sie war kurz davor. Wer Debian unstable oder Fedora Rawhide einsetzte — typische Entwicklungsumgebungen — hatte sie potenziell installiert.
Slopsquatting — KI-Halluzinationen als Lieferkette
Der Begriff stammt von Seth Larson, Python-Security-Experte. Chris erklärt das Pattern. Beim klassischen Typosquatting registriert ein Angreifer Paketnamen mit Tippfehlern — «numpy» wird zu «numpyy». Beim Slopsquatting halluziniert ein LLM beim Code-Generieren ein Paket, das gar nicht existiert. Der Angreifer registriert genau diesen Namen — und das nächste Mal, wenn ein Entwickler den LLM-Vorschlag übernimmt, wird sein Code zu einem Angriffsvektor. Joseph Spracklin und Kollegen haben das auf USENIX Security 2025 quantifiziert: 576’000 Code-Samples mit verschiedenen LLMs generiert, rund 20 Prozent der vorgeschlagenen Paketnamen existieren nicht. Bei GPT-4-Klasse-Modellen liegt die Rate bei 5 Prozent, bei Open-Source-Modellen wie CodeLlama, DeepSeek, WizardCoder höher. 43 Prozent dieser halluzinierten Namen wiederholen sich konsistent über mehrere Prompts — sie sind also vorhersagbar registrierbar.
Robert nennt den dokumentierten Real-World-Fall: Snyk-Researcher haben ein fake-huggingface-cli-Paket gefunden, in drei Monaten über 30’000 Mal heruntergeladen. Hugging Face ist die führende Plattform für ML-Modelle, die CLI klingt absolut plausibel. Das echte Paket heisst anders — das fake-Paket enthielt einen Infostealer. Klassische Mitigation per Levenshtein-Distance-Filter funktioniert hier nicht, weil der Name nicht ähnlich ist, sondern neu. Diskutierte Ansätze in der Standardisierung 2026: Wartezeit bei neuen Paketregistrierungen, Reverse-Linking auf Maintainer-Vertrauen.
Regulatorische Antwort
Seit dem 1. April 2025 müssen Betreiber kritischer Infrastrukturen in der Schweiz Cyberangriffe innerhalb von 24 Stunden ans BACS melden — eine fundamentale Verschiebung gegenüber der vorherigen Freiwilligkeit. Auf EU-Ebene gilt parallel die NIS2-Richtlinie, Umsetzungsfrist 17. Oktober 2024. Der Cyber Resilience Act (EU 2024/2847) verpflichtet Hersteller von Produkten mit digitalen Elementen zu Software-Bill-of-Materials und Vulnerability-Disclosure-Policies, schrittweise Anwendung bis 2027. Lukas sagt aus Forschungssicht: SBOMs helfen bei bekannten Schwachstellen, nicht bei Zero-Days und nicht bei einem XZ-Szenario, in dem der Maintainer böswillig ist. Diskutiert werden kryptographische Source-Attestation-Verfahren — Sigstore, Cosign — die nicht nur Bytes, sondern Identität und Build-Provenance signieren.
Was Sie aus dieser Folge mitnehmen
Lieferkette ist 2026 das strategische Schlachtfeld. SBOMs sind Pflicht, Meldepflicht ist Pflicht. Beides ist notwendig, nicht hinreichend. Wer AI-Coding-Assistenten produktiv nutzt, braucht eine Package-Verification-Schicht im Build-System — bei Python: PyPI gegenchecken, Maintainer-Profil und Release-Verlauf prüfen, bevor ein Paket aus einem LLM-Vorschlag installiert wird. Die offene Forschungsfrage: Maintainer-Verifikation und Identitäts-Vertrauen in offenen Communities — dafür gibt es 2026 noch keine etablierte Antwort.
Quellen und Referenzen
- Freund, A. (2024, March 29). Backdoor in upstream xz/liblzma leading to ssh server compromise [Mailing list message]. oss-security at openwall.com. https://www.openwall.com/lists/oss-security/2024/03/29/4
- Hunted Labs. (2024). Where the wild things are: A complete analysis of Jia Tan's GitHub history and the XZ Utils software supply chain breach. https://www.huntedlabs.com/blog/where-the-wild-things-are-a-complete-analysis-of-jia-tans-github-history-and-the-xz-utils-software-supply-chain-breach
- Wikipedia contributors. (n.d.). XZ Utils backdoor. Wikipedia. https://en.wikipedia.org/wiki/XZ_Utils_backdoor
- Spracklin, J., Madireddy, R., Pasarath, P., & Tsipenyuk, K. (2025). We have a package for you! A comprehensive analysis of package hallucinations by code-generating LLMs. USENIX Security 2025. https://www.usenix.org/conference/usenixsecurity25
- Snyk. (2024). Slopsquatting: New AI hallucination threats and mitigation strategies. Snyk Articles. https://snyk.io/articles/slopsquatting-mitigation-strategies/
- BleepingComputer. (2025). AI-hallucinated code dependencies become new supply chain risk. https://www.bleepingcomputer.com/news/security/ai-hallucinated-code-dependencies-become-new-supply-chain-risk/
- Bundesamt für Cybersicherheit BACS. (2025, April 1). Reporting cyberattacks on critical infrastructure mandatory from 1 April 2025. Schweizerische Eidgenossenschaft. https://www.ncsc.admin.ch/ncsc/en/home/aktuell/im-fokus/2025/meldepflicht-2025.html
- OST – Ostschweizer Fachhochschule. (2026). CAS AI-Driven Cybersecurity and Strategic Defence [Programmseite, 15 ECTS, 14 Präsenztage, Campus Rapperswil-Jona]. https://www.ost.ch/de/weiterbildung/weiterbildungsangebot/informatik/cybersecurity-networks/cas-ai-driven-cybersecurity-and-strategic-defence