Арганізацыя OpenSSF (Open Source Security Foundation), створаная пад заступніцтвам Linux Foundation для павышэння бяспекі адкрытага ПЗ, папярэдзіла супольнасць аб выяўленні актыўнасці, звязанай са спробамі атрымання кантролю над папулярнымі адкрытымі праектамі, якая нагадвае па сваім стылі дзеянні зламыснікаў у працэсе падрыхтоўкі да падстаноўкі бэкдора ў праект xz. Па аналогіі нападам на xz сумнеўныя асобы, раней глыбока не ўцягнутыя ў распрацоўку, спрабавалі выкарыстаць метады сацыяльнага інжынірынгу для дасягнення сваіх мэт.
Атакуючыя ўступілі ў перапіску з чальцамі кіравальнай рады арганізацыі OpenJS Foundation, якая выступае нейтральнай пляцоўкай для сумеснай распрацоўкі адчыненых JavaScript-праектаў, такіх як Node.js, jQuery, Appium, Dojo, PEP, Mocha і webpack. У перапісцы, у якой прымала ўдзел некалькі іншых распрацоўнікаў з сумнеўнай гісторыяй распрацоўкі адчыненага ПА, прадпрымаліся спробы пераканаць кіраўніцтва ў неабходнасці абнавіць адзін з папулярных JavaScript-праектаў, якія курыруюцца арганізацыяй OpenJS.
У якасці прычыны абнаўлення ўказвалася на неабходнасць дадання "абароны ад любых крытычных уразлівасцяў". Пры гэтым ніякіх падрабязнасьцяў аб сутнасці ўразлівасцяў не прыводзілася. Для рэалізацыі змен падазроны распрацоўшчык прапанаваў уключыць яго ў лік суправаджаючых праект, у распрацоўцы якога ён раней прымаў толькі невялікі ўдзел. Акрамя таго, падобныя падазроныя сцэнары навязвання свайго кода выяўлены яшчэ ў двух папулярных JavaScript-праектах, не злучаных з арганізацыяй OpenJS. Мяркуецца, што выпадкі не адзінкавыя і суправаджаючым адкрытыя праекты варта не губляць пільнасць пры прыёме кода і зацвярджэнні новых распрацоўшчыкаў.
Сярод прыкмет, якія могуць сведчыць аб зламыснай актыўнасці, згадваецца добразычлівае, але ў той жа час агрэсіўнае і настойлівае, прыставанне малавядомых удзельнікаў супольнасці да суправаджаючых або кіраўнікоў праектаў з ідэяй прасоўвання свайго кода або прадастаўлення статусу суправаджаючага. Увага таксама варта звяртаць на з'яўленне групы падтрымкі вакол ідэй, якія прасоўваюцца, сфармаванай з выдуманых асоб, якія раней не ўдзельнічалі ў распрацоўцы або нядаўна далучыліся да супольнасці.
Пры прыёме змен варта ўспрымаць як прыкметы патэнцыйна шкоднасных дзеянняў спробы ўключэння ў запыты на зліццё бінарных дадзеных (напрыклад, у xz бэкдор быў перададзены ў архівах для тэставання распакавальніка) або заблытанага ці цяжкага для разумення кода. Варта зважаць на выпрабавальныя спробы занясення змен, якія нязначна зніжаюць бяспеку, якія адпраўляюцца для адзнакі рэакцыі супольнасці і праверкі наяўнасці асоб, якія адсочваюць змены (напрыклад, у xz функцыя Safe_fprintf была замена на fprintf). Падазрэнне таксама павінны выклікаць нетыповыя змены метадаў кампіляцыі, зборкі і разгортвання праекта, задзейнічанне іншых артэфактаў і нагнятанне адчування неабходнасці тэрміновага прыняцця змен.
Крыніца: opennet.ru