オープンソース ソフトウェアのセキュリティを向上させるために Linux Foundation の後援の下に設立された OpenSSF (Open Source Security Foundation) は、そのスタイルを彷彿とさせる、人気のあるオープンソース プロジェクトを制御しようとする試みに関連する活動の特定についてコミュニティに警告しました。プロジェクト xz にバックドアをインストールする準備の過程での攻撃者の行動。 xz への攻撃と同様に、これまで開発に深く関与していなかった疑わしい個人が、目的を達成するためにソーシャル エンジニアリング手法を使用しようとしました。
攻撃者は、Node.js、jQuery、Appium、Dojo、PEP、Mocha、webpack などのオープン JavaScript プロジェクトの共同開発のための中立的なプラットフォームとして機能する OpenJS Foundation の運営評議会のメンバーと通信を締結しました。この文書には、オープンソース開発履歴が疑わしい数人のサードパーティ開発者も含まれており、OpenJS 組織が厳選した人気のある JavaScript プロジェクトの 1 つを更新する必要性を経営陣に説得しようとしました。
アップデートの理由は、「重大な脆弱性に対する保護」を追加する必要があるためであると述べられています。ただし、脆弱性の本質については詳細が提供されていません。変更を実装するために、この怪しい開発者は、以前はごく一部しか開発に参加していなかった彼をプロジェクトのメンテナーに加えることを申し出ました。さらに、OpenJS 組織とは関係のない、さらに 2 つの人気のある JavaScript プロジェクトでも、コードを押し付ける同様の不審なシナリオが確認されました。ケースは孤立していないことが想定されており、オープンソース プロジェクトの管理者はコードを受け入れたり新しい開発者を承認したりする際に常に警戒する必要があります。
悪意のあるアクティビティを示す兆候としては、コードを宣伝したり、メンテナのステータスを付与したりするという考えを持って、あまり知られていないコミュニティ メンバーがメンテナやプロジェクト マネージャに近づく、善意があると同時に積極的かつ執拗な取り組みが挙げられます。また、これまで開発に参加したことのない、または最近コミュニティに参加した架空の個人で構成される、推進されているアイデアを中心としたサポート グループの出現にも注意を払う必要があります。
変更を受け入れるときは、マージ リクエストにバイナリ データを含めようとする潜在的な悪意のあるアクティビティの兆候 (たとえば、xz では、アンパッカーをテストするためにアーカイブにバックドアが送信されました) や混乱を招く、または理解しにくいコードを考慮する必要があります。コミュニティの反応を評価し、変更を追跡している人がいるかどうかを確認するために、セキュリティを損なう軽微な変更を試行することを検討する必要があります (たとえば、xz は Safe_fprintf 関数を fprintf に置き換えました)。プロジェクトのコンパイル、アセンブリ、展開の方法における異常な変更、サードパーティ成果物の使用、変更を早急に採用する必要があるという感情の高まりによっても疑惑が引き起こされるはずです。
出所: オープンネット.ru