حذرت OpenSSF (مؤسسة أمان المصدر المفتوح)، التي تم إنشاؤها تحت رعاية مؤسسة Linux لتحسين أمان البرامج مفتوحة المصدر، المجتمع من تحديد الأنشطة المتعلقة بمحاولات السيطرة على المشاريع الشائعة مفتوحة المصدر، والتي تذكرنا بأسلوبها من تصرفات المهاجمين أثناء التحضير لتثبيت باب خلفي في المشروع xz. على غرار الهجوم على xz، حاول الأفراد المشكوك فيهم الذين لم يشاركوا بشكل عميق في التطوير سابقًا استخدام أساليب الهندسة الاجتماعية لتحقيق أهدافهم.
دخل المهاجمون في مراسلات مع أعضاء مجلس إدارة مؤسسة OpenJS، التي تعمل كمنصة محايدة للتطوير المشترك لمشاريع JavaScript المفتوحة مثل Node.js وjQuery وAppium وDojo وPEP وMocha وwebpack. حاولت المراسلات، التي تضمنت العديد من مطوري الطرف الثالث الذين لديهم تاريخ مشكوك فيه في تطوير المصادر المفتوحة، إقناع الإدارة بالحاجة إلى تحديث أحد مشاريع JavaScript الشهيرة التي ترعاها مؤسسة OpenJS.
تم ذكر سبب التحديث هو الحاجة إلى إضافة "الحماية ضد أي ثغرات أمنية حرجة". ومع ذلك، لم يتم تقديم أي تفاصيل حول جوهر نقاط الضعف. ولتنفيذ التغييرات، عرض المطور المشبوه إدراجه ضمن القائمين على المشروع، الذي لم يكن قد شارك في تطويره في السابق سوى جزء صغير. بالإضافة إلى ذلك، تم تحديد سيناريوهات مشبوهة مماثلة لفرض التعليمات البرمجية الخاصة بهم في مشروعين أكثر شيوعًا لجافا سكريبت غير مرتبطين بمؤسسة OpenJS. من المفترض أن الحالات ليست معزولة ويجب على القائمين على المشاريع مفتوحة المصدر أن يظلوا يقظين عند قبول التعليمات البرمجية والموافقة على المطورين الجدد.
تتضمن العلامات التي قد تشير إلى نشاط ضار جهودًا حسنة النية، ولكن في نفس الوقت عدوانية ومستمرة، من قبل أعضاء المجتمع غير المعروفين للتواصل مع المشرفين أو مديري المشاريع بفكرة الترويج للكود الخاص بهم أو منح حالة المشرف. ويجب أيضًا الانتباه إلى ظهور مجموعة دعم حول الأفكار التي يتم الترويج لها، مكونة من أفراد وهميين لم يشاركوا سابقًا في التطوير أو انضموا مؤخرًا إلى المجتمع.
عند قبول التغييرات، يجب أن تعتبر محاولات تضمين البيانات الثنائية في طلبات الدمج كعلامات على نشاط ضار محتمل (على سبيل المثال، في xz، تم إرسال باب خلفي إلى الأرشيفات لاختبار أداة فك الحزم) أو تعليمات برمجية مربكة أو يصعب فهمها. ينبغي النظر في المحاولات التجريبية للتغييرات الطفيفة التي تضعف الأمان والتي تم تقديمها لقياس استجابة المجتمع ومعرفة ما إذا كان هناك أشخاص يتتبعون التغييرات (على سبيل المثال، استبدل xz الدالة Safe_fprintf بـ fprintf). يجب أيضًا إثارة الشك بسبب التغييرات غير النمطية في أساليب تجميع المشروع وتجميعه ونشره، واستخدام عناصر خارجية وتصاعد الشعور بالحاجة إلى اعتماد التغييرات بشكل عاجل.
المصدر: opennet.ru