A OpenSSF (Open Source Security Foundation), criada sob os auspícios da Linux Foundation para melhorar a segurança do software de código aberto, alertou a comunidade sobre a identificação de atividades relacionadas a tentativas de obter controle sobre projetos populares de código aberto, que lembram em seu estilo das ações dos invasores no processo de preparação para instalação de um backdoor no projeto xz. Semelhante ao ataque a xz, indivíduos duvidosos que não estavam profundamente envolvidos no desenvolvimento tentaram usar métodos de engenharia social para atingir seus objetivos.
Os invasores trocaram correspondência com membros do conselho de administração da OpenJS Foundation, que atua como uma plataforma neutra para o desenvolvimento conjunto de projetos JavaScript abertos, como Node.js, jQuery, Appium, Dojo, PEP, Mocha e webpack. A correspondência, que incluía vários desenvolvedores terceirizados com históricos duvidosos de desenvolvimento de código aberto, tentava convencer a administração da necessidade de atualizar um dos projetos populares de JavaScript com curadoria da organização OpenJS.
O motivo da atualização foi declarado a necessidade de adicionar “proteção contra quaisquer vulnerabilidades críticas”. No entanto, nenhum detalhe foi fornecido sobre a essência das vulnerabilidades. Para implementar as mudanças, o desenvolvedor suspeito se ofereceu para incluí-lo entre os mantenedores do projeto, em cujo desenvolvimento ele havia participado apenas uma pequena parte. Além disso, cenários suspeitos semelhantes para a imposição de seu código foram identificados em mais dois projetos JavaScript populares não associados à organização OpenJS. Supõe-se que os casos não são isolados e os mantenedores de projetos de código aberto devem permanecer vigilantes ao aceitar códigos e aprovar novos desenvolvedores.
Os sinais que podem indicar atividade maliciosa incluem esforços bem-intencionados, mas ao mesmo tempo agressivos e persistentes, de membros pouco conhecidos da comunidade para abordar mantenedores ou gerentes de projeto com a ideia de promover seu código ou conceder o status de mantenedor. Deve-se também prestar atenção ao surgimento de um grupo de apoio em torno das ideias promovidas, formado por indivíduos fictícios que não participaram anteriormente do desenvolvimento ou ingressaram recentemente na comunidade.
Ao aceitar alterações, você deve considerar como sinais de atividade potencialmente maliciosa tentativas de incluir dados binários em solicitações de mesclagem (por exemplo, em xz, um backdoor foi enviado em arquivos para testar o descompactador) ou código que seja confuso ou difícil de entender. Devem ser consideradas tentativas experimentais de pequenas alterações que prejudiquem a segurança submetidas para avaliar a resposta da comunidade e para ver se há pessoas monitorando as alterações (por exemplo, xz substituiu a função Safe_fprintf por fprintf). A suspeita também deve ser despertada por mudanças atípicas nos métodos de compilação, montagem e implantação do projeto, pela utilização de artefatos de terceiros e pela escalada do sentimento de necessidade de adoção urgente de mudanças.
Fonte: opennet.ru