OpenSSF (Open Source Security Foundation), създадена под егидата на Linux Foundation за подобряване на сигурността на софтуера с отворен код, предупреди общността за идентифициране на дейност, свързана с опити за получаване на контрол над популярни проекти с отворен код, напомнящи по своя стил на действията на нападателите в процеса на подготовка за инсталиране на задна врата в проекта xz. Подобно на атаката срещу xz, съмнителни лица, които преди това не са били дълбоко ангажирани в разработката, се опитаха да използват методи на социално инженерство, за да постигнат целите си.
Нападателите влязоха в кореспонденция с членове на управителния съвет на OpenJS Foundation, която действа като неутрална платформа за съвместно разработване на отворени JavaScript проекти като Node.js, jQuery, Appium, Dojo, PEP, Mocha и webpack. Кореспонденцията, включваща няколко разработчици на трети страни със съмнителна история на разработката с отворен код, се опита да убеди ръководството в необходимостта от актуализиране на един от популярните проекти на JavaScript, курирани от организацията OpenJS.
Причината за актуализацията беше посочена като необходимостта да се добави „защита срещу всякакви критични уязвимости“. Въпреки това не бяха предоставени подробности за същността на уязвимостите. За да приложи промените, подозрителният разработчик предложи да го включи сред поддържащите проекта, в чието развитие преди това той е взел само малка част. В допълнение, подобни подозрителни сценарии за налагане на техния код бяха идентифицирани в още два популярни JavaScript проекта, които не са свързани с организацията OpenJS. Предполага се, че случаите не са изолирани и поддържащите проекти с отворен код трябва да останат бдителни, когато приемат код и одобряват нови разработчици.
Признаците, които могат да показват злонамерена дейност, включват добронамерени, но в същото време агресивни и постоянни усилия на малко познати членове на общността да се обърнат към поддържащи или ръководители на проекти с идеята да популяризират техния код или да предоставят статус на поддържащ. Трябва да се обърне внимание и на появата на група за подкрепа около прокарваните идеи, формирана от фиктивни лица, които не са участвали преди това в разработката или наскоро са се присъединили към общността.
Когато приемате промените, трябва да считате за признаци на потенциално злонамерена дейност опитите за включване на двоични данни в заявки за сливане (например в xz беше изпратена задна врата в архивите, за да се тества програмата за разопаковане) или код, който е объркващ или труден за разбиране. Трябва да се обмислят пробни опити за незначителни влошаващи сигурността промени, изпратени, за да се прецени реакцията на общността и да се види дали има хора, които проследяват промените (напр. xz замени функцията Safe_fprintf с fprintf). Подозрения трябва да предизвикат и нетипични промени в методите за компилиране, сглобяване и внедряване на проекта, използването на артефакти на трети страни и ескалацията на чувството за необходимост от спешно приемане на промени.
Източник: opennet.ru