L'OpenSSF (Open Source Security Foundation), creata sottu l'auspici di a Fundazione Linux per migliurà a sicurità di u software open source, hà avvistatu a cumunità nantu à l'identificazione di l'attività ligata à i tentativi di ottene u cuntrollu di i prughjetti open source populari, chì ricordanu in u so stile. di l'azzioni di l'attaccanti in u prucessu di preparazione per installà una backdoor in u prughjettu xz. Simile à l'attaccu à xz, l'individui dubbiosi chì ùn eranu micca prufondamente implicati in u sviluppu anu pruvatu à utilizà metudi di ingegneria suciale per ghjunghje i so scopi.
L'attaccanti sò entrati in currispundenza cù i membri di u cunsigliu di guvernu di a Fundazione OpenJS, chì agisce cum'è una piattaforma neutrale per u sviluppu cumuni di prughjetti JavaScript aperti cum'è Node.js, jQuery, Appium, Dojo, PEP, Mocha è webpack. A currispundenza, chì includeva parechji sviluppatori di terzu cù una storia di sviluppu open source dubbiosa, hà pruvatu à cunvince a gestione di a necessità di aghjurnà unu di i prughjetti JavaScript populari curati da l'urganizazione OpenJS.
U mutivu di l'aghjurnamentu hè statu dichjaratu chì hè a necessità di aghjunghje "prutezzione contr'à ogni vulnerabilità critica". Tuttavia, ùn sò micca datu dettagli nantu à l'essenza di e vulnerabilità. Per implementà i cambiamenti, u sviluppatore suspettu hà prupostu d'includelu trà i manteni di u prugettu, in u sviluppu di u quale prima avia pigliatu solu una piccula parte. Inoltre, scenarii sospetti simili per impone u so codice sò stati identificati in dui prughjetti JavaScript più populari micca assuciati cù l'urganizazione OpenJS. Hè presumitu chì i casi ùn sò micca isolati è i mantene di prughjetti open source deve esse vigilante quandu accettanu u codice è appruvà novi sviluppatori.
I segni chì ponu indicà l'attività maliciosa includenu sforzi bè intenzionati, ma à u stessu tempu aggressivi è persistenti, da membri di a cumunità pocu cunnisciuti per avvicinà i mantenitori o i gestori di prughjettu cù l'idea di prumove u so codice o di cuncede u statutu di mantene. L'attenzione deve ancu esse pagata à l'emergenza di un gruppu di supportu intornu à l'idee chì sò prumuvuti, furmatu da individui fittizi chì ùn anu micca participatu prima à u sviluppu o chì anu unitu recentemente à a cumunità.
Quandu accettà i cambiamenti, duvete cunsiderà cum'è signali di attività potenzialmente maliziosa tentativi di includere dati binari in e dumande di fusione (per esempiu, in xz, una backdoor hè stata sottumessa in l'archivi per pruvà l'unpacker) o codice chì hè confusu o difficiuli di capiscenu. Si deve esse cunsideratu à i tentativi di prova à i cambiamenti minuri chì dannu a sicurezza sottumessi per calibre a risposta di a cumunità è per vede s'ellu ci sò persone chì seguitanu i cambiamenti (per esempiu, xz hà rimpiazzatu a funzione Safe_fprintf cù fprintf). A sospetta deve ancu esse suscitata da cambiamenti atipici in i metudi di compilazione, assemblea è implementazione di u prugettu, l'usu di artifacti di terzu è l'escalation di u sensu di a necessità di aduttà urgente cambiamenti.
Source: opennet.ru