A Linux Alapítvány égisze alatt a nyílt forráskódú szoftverek biztonságának javítására létrehozott OpenSSF (Open Source Security Foundation) figyelmeztette a közösséget a népszerű nyílt forráskódú projektek feletti irányítás megszerzésére irányuló kísérletekkel kapcsolatos tevékenységek azonosítására, stílusában emlékeztetve. a támadók akcióiról egy hátsó ajtó telepítésének előkészítése során az xz projektben. Hasonlóan az xz elleni támadáshoz, a fejlesztésben korábban nem vett részt kétes egyének is social engineering módszerekkel próbálták elérni céljaikat.
A támadók levelezést folytattak az OpenJS Foundation kormányzótanácsának tagjaival, amely semleges platformként működik olyan nyílt JavaScript-projektek közös fejlesztésében, mint a Node.js, jQuery, Appium, Dojo, PEP, Mocha és webpack. A levelezés, amelyben több, kétes nyílt forráskódú fejlesztési múlttal rendelkező külső fejlesztő is részt vett, megpróbálta meggyőzni a vezetőséget az OpenJS szervezet által gondozott egyik népszerű JavaScript-projekt frissítésének szükségességéről.
A frissítés oka a kritikus biztonsági rések elleni védelem szükségessége volt. A sérülékenységek lényegéről azonban nem közöltek részleteket. A változtatások végrehajtására a gyanús fejlesztő felajánlotta, hogy felveszi a projekt fenntartói közé, amelynek fejlesztésében korábban csak kis részt vállalt. Ezenkívül két olyan népszerű JavaScript-projektben is azonosítottak hasonló gyanús forgatókönyveket, amelyek nem kapcsolódnak az OpenJS-szervezethez. Feltételezhető, hogy az esetek nem elszigeteltek, és a nyílt forráskódú projektek fenntartóinak ébernek kell maradniuk a kód elfogadásakor és az új fejlesztők jóváhagyásakor.
A rosszindulatú tevékenységre utaló jelek közé tartozik a közösség kevéssé ismert tagjainak jó szándékú, ugyanakkor agresszív és kitartó törekvése, hogy karbantartókhoz vagy projektmenedzserekhez forduljanak azzal az ötlettel, hogy népszerűsítsék a kódjukat vagy adják a fenntartói státuszt. Figyelmet kell fordítani arra is, hogy a népszerűsített ötletek körül egy támogató csoport alakuljon ki, amely olyan fiktív személyekből alakul ki, akik korábban nem vettek részt a fejlesztésben, vagy nemrég csatlakoztak a közösséghez.
A változtatások elfogadásakor figyelembe kell vennie a potenciálisan rosszindulatú tevékenység jeleit, ha az egyesítési kérelmekbe bináris adatokat kíván beilleszteni (például xz-ben egy hátsó ajtót küldtek az archívumban a kicsomagoló tesztelésére), vagy olyan kódot, amely zavaró vagy nehezen érthető. Figyelembe kell venni a kisebb, biztonságot rontó módosítások próbakísérleteit, amelyeket a közösség reakcióinak felmérésére és annak megállapítására, hogy vannak-e olyan személyek, akik nyomon követik a változásokat (például az xz a Safe_fprintf függvényt az fprintf-re cserélte). Gyanakvást kelthetnek a projekt összeállítási, összeállítási és telepítési módszereinek atipikus változásai, harmadik féltől származó műtermékek használata, valamint a változtatások sürgős elfogadásának szükségességének fokozódása.
Forrás: opennet.ru