OpenSSF (Open Source Security Foundation), opprettet i regi av Linux Foundation for å forbedre sikkerheten til åpen kildekode-programvare, advarte fellesskapet om identifisering av aktivitet knyttet til forsøk på å få kontroll over populære åpen kildekode-prosjekter, som minner i sin stil. av handlingene til angripere i ferd med å forberede å installere en bakdør i prosjektet xz. I likhet med angrepet på xz prøvde tvilsomme individer som ikke tidligere var dypt involvert i utviklingen å bruke sosiale ingeniørmetoder for å nå målene sine.
Angriperne inngikk korrespondanse med medlemmer av det styrende rådet til OpenJS Foundation, som fungerer som en nøytral plattform for felles utvikling av åpne JavaScript-prosjekter som Node.js, jQuery, Appium, Dojo, PEP, Mocha og webpack. Korrespondansen, som inkluderte flere tredjepartsutviklere med tvilsomme utviklingshistorier med åpen kildekode, forsøkte å overbevise ledelsen om behovet for å oppdatere et av de populære JavaScript-prosjektene kuratert av OpenJS-organisasjonen.
Årsaken til oppdateringen ble oppgitt å være behovet for å legge til "beskyttelse mot eventuelle kritiske sårbarheter." Det ble imidlertid ikke gitt noen detaljer om essensen av sårbarhetene. For å implementere endringene tilbød den mistenkelige utvikleren å inkludere ham blant vedlikeholderne av prosjektet, i utviklingen som han tidligere bare hadde tatt en liten del av. I tillegg ble lignende mistenkelige scenarier for å pålegge koden deres identifisert i to mer populære JavaScript-prosjekter som ikke er knyttet til OpenJS-organisasjonen. Det antas at tilfeller ikke er isolerte og vedlikeholdere av åpen kildekode-prosjekter bør være på vakt når de aksepterer kode og godkjenner nye utviklere.
Tegn som kan indikere ondsinnet aktivitet inkluderer velmente, men samtidig aggressive og vedvarende, innsats fra lite kjente fellesskapsmedlemmer for å henvende seg til vedlikeholdere eller prosjektledere med ideen om å fremme koden deres eller gi vedlikeholderstatus. Oppmerksomhet bør også rettes mot fremveksten av en støttegruppe rundt ideene som fremmes, dannet av fiktive individer som ikke tidligere har deltatt i utviklingen eller nylig har sluttet seg til fellesskapet.
Når du godtar endringer, bør du vurdere som tegn på potensielt skadelig aktivitet forsøk på å inkludere binære data i sammenslåingsforespørsler (for eksempel i xz ble det sendt inn en bakdør i arkiver for å teste utpakkeren) eller kode som er forvirrende eller vanskelig å forstå. Det bør tas hensyn til prøveforsøk på mindre sikkerhetssvekkende endringer som sendes inn for å måle samfunnets respons og for å se om det er personer som sporer endringene (f.eks. xz erstattet Safe_fprintf-funksjonen med fprintf). Mistanke bør også vekkes av atypiske endringer i metodene for kompilering, montering og distribusjon av prosjektet, bruk av tredjeparts artefakter og eskalering av følelsen av behovet for å raskt vedta endringer.
Kilde: opennet.ru