OpenSSF (Open Source Security Foundation), vytvorená pod záštitou Linux Foundation s cieľom zlepšiť bezpečnosť softvéru s otvoreným zdrojovým kódom, varovala komunitu pred identifikáciou aktivity súvisiacej s pokusmi získať kontrolu nad populárnymi open source projektmi, ktoré svojím štýlom pripomínajú o činnostiach útočníkov v procese prípravy inštalácie backdoor v projekte xz. Podobne ako pri útoku na xz sa pochybní jedinci, ktorí sa predtým hlboko nezaoberali vývojom, pokúšali na dosiahnutie svojich cieľov použiť metódy sociálneho inžinierstva.
Útočníci nadviazali korešpondenciu s členmi správnej rady OpenJS Foundation, ktorá funguje ako neutrálna platforma pre spoločný vývoj otvorených JavaScript projektov ako Node.js, jQuery, Appium, Dojo, PEP, Mocha a webpack. Korešpondencia, ktorá zahŕňala niekoľko vývojárov tretích strán s pochybnou históriou vývoja open source, sa pokúšala presvedčiť manažment o potrebe aktualizovať jeden z populárnych JavaScript projektov kurátorov organizácie OpenJS.
Dôvodom aktualizácie bola uvedená potreba pridať „ochranu pred akýmikoľvek kritickými zraniteľnosťami“. Neboli však poskytnuté žiadne podrobnosti o podstate zraniteľností. Na implementáciu zmien mu podozrivý vývojár ponúkol, že ho zaradí medzi správcov projektu, na vývoji ktorého sa predtým podieľal len malou mierou. Okrem toho boli podobné podozrivé scenáre na uloženie ich kódu identifikované v dvoch ďalších populárnych projektoch JavaScript, ktoré nie sú spojené s organizáciou OpenJS. Predpokladá sa, že prípady nie sú izolované a správcovia projektov s otvoreným zdrojovým kódom by mali zostať ostražití pri prijímaní kódu a schvaľovaní nových vývojárov.
Známky, ktoré môžu naznačovať škodlivú aktivitu, zahŕňajú dobre mienené, ale zároveň agresívne a vytrvalé snahy málo známych členov komunity osloviť správcov alebo projektových manažérov s myšlienkou propagovať ich kód alebo udeliť štatút správcu. Pozornosť by sa mala venovať aj vzniku podpornej skupiny okolo propagovaných myšlienok, ktorá je vytvorená z fiktívnych jednotlivcov, ktorí sa predtým nezúčastňovali vývoja alebo sa nedávno pripojili ku komunite.
Pri prijímaní zmien by ste mali považovať za znaky potenciálne škodlivej aktivity pokusy o zahrnutie binárnych údajov do žiadostí o zlúčenie (napríklad v xz boli v archívoch odoslané zadné vrátka na testovanie rozbaľovacieho programu) alebo kód, ktorý je mätúci alebo ťažko pochopiteľný. Mali by sa zvážiť skúšobné pokusy o menšie zmeny narúšajúce bezpečnosť predložené na meranie reakcie komunity a na zistenie, či existujú ľudia, ktorí zmeny sledujú (napr. xz nahradilo funkciu Safe_fprintf funkciou fprintf). Podozrenie by mali vzbudzovať aj atypické zmeny v spôsoboch zostavovania, zostavovania a nasadzovania projektu, používanie artefaktov tretích strán a eskalácia pocitu potreby urýchlene prijať zmeny.
Zdroj: opennet.ru