L-OpenSSF (Open Source Security Foundation), maħluqa taħt l-awspiċi tal-Linux Foundation biex ittejjeb is-sigurtà tas-software open source, wissiet lill-komunità dwar l-identifikazzjoni ta 'attività relatata ma' tentattivi biex tikseb kontroll fuq proġetti popolari ta 'sors miftuħ, reminixxenti fl-istil tagħha tal-azzjonijiet tal-attakkanti fil-proċess tat-tħejjija biex tinstalla backdoor fil-proġett xz. Simili għall-attakk fuq xz, individwi dubjużi li qabel ma kinux involuti fil-fond fl-iżvilupp ippruvaw jużaw metodi ta 'inġinerija soċjali biex jilħqu l-għanijiet tagħhom.
L-attakkanti daħlu f'korrispondenza mal-membri tal-kunsill governattiv tal-Fondazzjoni OpenJS, li taġixxi bħala pjattaforma newtrali għall-iżvilupp konġunt ta 'proġetti JavaScript miftuħa bħal Node.js, jQuery, Appium, Dojo, PEP, Mocha u webpack. Il-korrispondenza, li kienet tinkludi diversi żviluppaturi ta’ partijiet terzi bi storja dubjużi ta’ żvilupp ta’ sors miftuħ, ippruvat tikkonvinċi lill-maniġment dwar il-ħtieġa li jiġi aġġornat wieħed mill-proġetti JavaScript popolari kkurati mill-organizzazzjoni OpenJS.
Ir-raġuni għall-aġġornament kienet iddikjarata li hija l-ħtieġa li tiżdied "protezzjoni kontra kwalunkwe vulnerabbiltajiet kritiċi." Madankollu, ma ngħataw l-ebda dettalji dwar l-essenza tal-vulnerabbiltajiet. Biex jimplimenta l-bidliet, l-iżviluppatur suspettuż offra li jinkludih fost il-manutenzjoni tal-proġett, li fl-iżvilupp tiegħu qabel kien ħa biss parti żgħira. Barra minn hekk, xenarji suspettużi simili għall-impożizzjoni tal-kodiċi tagħhom ġew identifikati f'żewġ proġetti JavaScript aktar popolari mhux assoċjati mal-organizzazzjoni OpenJS. Huwa preżunt li l-każijiet mhumiex iżolati u dawk li jżommu l-proġetti open source għandhom jibqgħu viġilanti meta jaċċettaw il-kodiċi u japprovaw żviluppaturi ġodda.
Sinjali li jistgħu jindikaw attività malizzjuża jinkludu sforzi intenzjonati, iżda fl-istess ħin aggressivi u persistenti, minn membri tal-komunità li ftit li xejn magħrufa biex javviċinaw lill-mantenituri jew lill-maniġers tal-proġetti bl-idea li jippromwovu l-kodiċi tagħhom jew li jagħtu l-istatus ta 'mantenitur. Għandha tingħata attenzjoni wkoll għall-ħolqien ta’ grupp ta’ appoġġ madwar l-ideat li qed jiġu promossi, iffurmat minn individwi fittizji li ma pparteċipawx qabel fl-iżvilupp jew li reċentement ingħaqdu mal-komunità.
Meta taċċetta bidliet, għandek tqis bħala sinjali ta 'attività potenzjalment malizzjuża tentattivi biex tinkludi data binarja f'talbiet għall-għaqda (per eżempju, f'xz, ġiet sottomessa backdoor fl-arkivji biex tittestja l-unpacker) jew kodiċi li huwa konfuż jew diffiċli biex jinftiehem. Għandha tingħata konsiderazzjoni lil tentattivi ta' prova ta' bidliet minuri li jfixklu s-sigurtà sottomessi biex titkejjel ir-rispons tal-komunità u biex tara jekk hemmx nies li qed isegwu l-bidliet (eż. xz issostitwixxa l-funzjoni Safe_fprintf b'fprintf). Is-suspett għandu wkoll jitqajjem minn bidliet atipiċi fil-metodi ta 'kumpilazzjoni, assemblaġġ u skjerament tal-proġett, l-użu ta' artifacts ta 'partijiet terzi u l-eskalazzjoni tas-sensazzjoni tal-ħtieġa li jiġu adottati bidliet b'mod urġenti.
Sors: opennet.ru