Исследователи безопасности обнаружили "заслуживающую доверия" попытку захвата, нацеленную на OpenJS Foundation способом, который напоминает недавно раскрытый инцидент, направленный на проект XZ Utils с открытым исходным кодом.
"Межпроектный совет Фонда OpenJS получил подозрительную серию электронных писем с похожими сообщениями, носящими разные имена и перекрывающими электронные письма, связанные с GitHub", - сказали OpenJS Foundation и Фонд безопасности с открытым исходным кодом (OpenSSF) в совместном предупреждении.
По словам Робина Бендера Джинна, исполнительного директора OpenJS Foundation, и Омхара Арасаратнама, генерального менеджера OpenSSF, электронные письма призывали OpenJS принять меры по обновлению одного из своих популярных проектов JavaScript для устранения критических уязвимостей без предоставления каких-либо подробностей.
Автор (ы) электронного письма также призвал OpenJS назначить их новым сопровождающим проекта, несмотря на небольшое предыдущее участие. Также сообщается, что два других популярных проекта JavaScript, размещенных не на OpenJS, подверглись аналогичной активности.
Тем не менее, никому из людей, связавшихся с OpenJS, не был предоставлен привилегированный доступ к проекту, размещенному на OpenJS.
Инцидент резко заострил внимание на метод, с помощью которого одинокий хранитель в XZ utils и был целенаправленным путем фиктивных образов, которые были специально созданы для того, что считается социальной инженерии-диплом-давление кампании разработан, чтобы сделать Цзя Тан (ака JiaT75) в со-разработчик проекта.
Это повысило вероятность того, что попытка саботажа утилит XZ может быть не единичным инцидентом и что это часть более широкой кампании по подрыву безопасности различных проектов, заявили две группы с открытым исходным кодом. Названия проектов JavaScript не разглашаются.
В нынешнем виде у Цзя Тана нет других цифровых следов, кроме их вклада, что указывает на то, что учетная запись была создана с единственной целью годами завоевывать доверие сообщества разработчиков с открытым исходным кодом и, в конечном итоге, внедрить скрытый бэкдор в утилиты XZ.
Это также служит для определения сложности и терпения, которые стояли за планированием и выполнением кампании, нацеленной на проект с открытым исходным кодом, управляемый волонтерами, который используется во многих дистрибутивах Linux, подвергая организации и пользователей риску атак по цепочке поставок.
Инцидент с бэкдором XZ Utils также подчеркивает "хрупкость" экосистемы с открытым исходным кодом и риски, создаваемые выгоранием сопровождающих, заявило на прошлой неделе Агентство кибербезопасности и инфраструктурной безопасности США (CISA).
"Бремя обеспечения безопасности не должно ложиться на отдельного разработчика с открытым исходным кодом, как это произошло в этом случае с почти катастрофическими последствиями", - сказали официальные лица CISA Джек Кейбл и Эва Блэк.
"Каждый производитель технологий, получающий прибыль от программного обеспечения с открытым исходным кодом, должен вносить свой вклад, являясь ответственными потребителями пакетов с открытым исходным кодом, от которых они зависят, и постоянными вкладчиками в них".
Агентство рекомендует производителям технологий и системным операторам, которые используют компоненты с открытым исходным кодом, либо напрямую, либо оказывать поддержку сопровождающим в периодическом аудите исходного кода, устранении целых классов уязвимостей и внедрении других принципов безопасности по замыслу.
"Эти атаки социальной инженерии используют чувство долга, которое сопровождающие испытывают по отношению к своему проекту и сообществу, чтобы манипулировать ими", - сказали Бендер Джинн и Арасаратнам.
"Обратите внимание на то, какие чувства вызывает у вас взаимодействие. Взаимодействия, которые вызывают неуверенность в себе, чувство неадекватности, недостаточности усилий для проекта и т.д., Могут быть частью атаки социальной инженерии".
"Межпроектный совет Фонда OpenJS получил подозрительную серию электронных писем с похожими сообщениями, носящими разные имена и перекрывающими электронные письма, связанные с GitHub", - сказали OpenJS Foundation и Фонд безопасности с открытым исходным кодом (OpenSSF) в совместном предупреждении.
По словам Робина Бендера Джинна, исполнительного директора OpenJS Foundation, и Омхара Арасаратнама, генерального менеджера OpenSSF, электронные письма призывали OpenJS принять меры по обновлению одного из своих популярных проектов JavaScript для устранения критических уязвимостей без предоставления каких-либо подробностей.
Автор (ы) электронного письма также призвал OpenJS назначить их новым сопровождающим проекта, несмотря на небольшое предыдущее участие. Также сообщается, что два других популярных проекта JavaScript, размещенных не на OpenJS, подверглись аналогичной активности.
Тем не менее, никому из людей, связавшихся с OpenJS, не был предоставлен привилегированный доступ к проекту, размещенному на OpenJS.
Инцидент резко заострил внимание на метод, с помощью которого одинокий хранитель в XZ utils и был целенаправленным путем фиктивных образов, которые были специально созданы для того, что считается социальной инженерии-диплом-давление кампании разработан, чтобы сделать Цзя Тан (ака JiaT75) в со-разработчик проекта.
Это повысило вероятность того, что попытка саботажа утилит XZ может быть не единичным инцидентом и что это часть более широкой кампании по подрыву безопасности различных проектов, заявили две группы с открытым исходным кодом. Названия проектов JavaScript не разглашаются.
В нынешнем виде у Цзя Тана нет других цифровых следов, кроме их вклада, что указывает на то, что учетная запись была создана с единственной целью годами завоевывать доверие сообщества разработчиков с открытым исходным кодом и, в конечном итоге, внедрить скрытый бэкдор в утилиты XZ.
Это также служит для определения сложности и терпения, которые стояли за планированием и выполнением кампании, нацеленной на проект с открытым исходным кодом, управляемый волонтерами, который используется во многих дистрибутивах Linux, подвергая организации и пользователей риску атак по цепочке поставок.
Инцидент с бэкдором XZ Utils также подчеркивает "хрупкость" экосистемы с открытым исходным кодом и риски, создаваемые выгоранием сопровождающих, заявило на прошлой неделе Агентство кибербезопасности и инфраструктурной безопасности США (CISA).
"Бремя обеспечения безопасности не должно ложиться на отдельного разработчика с открытым исходным кодом, как это произошло в этом случае с почти катастрофическими последствиями", - сказали официальные лица CISA Джек Кейбл и Эва Блэк.
"Каждый производитель технологий, получающий прибыль от программного обеспечения с открытым исходным кодом, должен вносить свой вклад, являясь ответственными потребителями пакетов с открытым исходным кодом, от которых они зависят, и постоянными вкладчиками в них".
Агентство рекомендует производителям технологий и системным операторам, которые используют компоненты с открытым исходным кодом, либо напрямую, либо оказывать поддержку сопровождающим в периодическом аудите исходного кода, устранении целых классов уязвимостей и внедрении других принципов безопасности по замыслу.
"Эти атаки социальной инженерии используют чувство долга, которое сопровождающие испытывают по отношению к своему проекту и сообществу, чтобы манипулировать ими", - сказали Бендер Джинн и Арасаратнам.
"Обратите внимание на то, какие чувства вызывает у вас взаимодействие. Взаимодействия, которые вызывают неуверенность в себе, чувство неадекватности, недостаточности усилий для проекта и т.д., Могут быть частью атаки социальной инженерии".
