South_agency/Getty ImagesXZ Utils-bakdøren (CVE-2024-3094) kan ikke ha vært en isolert hendelse, ifølge en felles uttalelse fra Open Source Security Foundation og OpenJS Foundation.
Hvis du ikke er klar over XZ Utils-sagaen, dekket min ærede kollega, Steven Vaughn-Nichols, historien i “Denne bakdøren infiserte nesten Linux overalt: The XZ Utils close call.” Kort sagt, en Microsoft-ingeniør oppdaget at en vedlikeholder av XZ-datakomprimeringsverktøyet, Jia Tan, satte inn en bakdør i koden slik at angripere kunne ta over Linux-systemer.
Også: 7 ting til og med nye Linux-brukere kan gjøre for å sikre operativsystemet bedre
Disse grunnlagene som antyder at det er bevis på lignende troverdige overtaksforsøk betyr at alle bør ta hensyn.
OpenJS Foundation Cross Project Council mottok en serie mistenkelige e-poster som ba OpenJS om å oppdatere et av sine populære JavaScript-prosjekter for å “adressere eventuelle kritiske sårbarheter.” De mistenkelige e-postene ga ingen spesifikasjoner, men forfatteren ønsket at OpenJS skulle utpeke dem som den nye vedlikeholderen av prosjektet, som er hvordan Jin Tan satte inn bakdøren sin i XZ.
Det prosjektet var ikke det eneste målet, sa stiftelsene. Minst to andre prosjekter ble også målrettet. Sikkerhetsrisikoen ble umiddelbart flagget.
I den felles uttalelsen sa OpenJS Foundation, “Sammen med Linux Foundation ønsker vi å øke bevisstheten om denne pågående trusselen til alle som vedlikeholder åpen kildekode, og tilby praktisk veiledning og ressurser fra vårt brede fellesskap av eksperter innen sikkerhet og åpen kildekode."
De to stiftelsene listet deretter opp kjente mistenkelige mønstre ved overtakelse av sosial ingeniørkunst:
Vennlig, men likevel aggressiv jakt på en vedlikeholder. bli hevet til vedlikeholderstatusEn godkjenning fra andre ukjente parter Pull-forespørsler som inneholder blobs som artefakter Med vilje tilslørt eller vanskelig å forstå kildekoden Gradvis eskalering av sikkerhetsproblemer Avvik fra typiske prosjektkompilerings-, bygge- og distribusjonspraksisEn falsk følelse av at det haster
Hvis du (eller din prosjekt) kommer over slik oppførsel, sørg for å lese OpenSSF-veiledningene samt CISAs "Avoiding Social Engineering and Phishing Attacks" blogginnlegg.