OpenSSF (Open Source Security Foundation), ustanovljen pod okriljem fundacije Linux za izboljšanje varnosti odprtokodne programske opreme, je skupnost opozoril na identifikacijo dejavnosti, povezanih s poskusi pridobitve nadzora nad priljubljenimi odprtokodnimi projekti, ki po svojem slogu spominjajo na dejanj napadalcev v procesu priprav na namestitev stranskih vrat v projekt xz. Podobno kot pri napadu na xz so dvomljivi posamezniki, ki prej niso bili poglobljeno vpleteni v razvoj, poskušali uporabiti metode socialnega inženiringa za dosego svojih ciljev.
Napadalci so vstopili v korespondenco s člani upravnega sveta fundacije OpenJS, ki deluje kot nevtralna platforma za skupen razvoj odprtih JavaScript projektov, kot so Node.js, jQuery, Appium, Dojo, PEP, Mocha in webpack. Korespondenca, ki je vključevala več zunanjih razvijalcev z dvomljivo zgodovino odprtokodnega razvoja, je poskušala prepričati vodstvo o potrebi po posodobitvi enega od priljubljenih projektov JavaScript, ki jih kurira organizacija OpenJS.
Razlog za posodobitev je bila navedena kot potreba po dodajanju "zaščite pred vsemi kritičnimi ranljivostmi." Vendar podrobnosti o bistvu ranljivosti niso bile navedene. Za izvedbo sprememb se je sumljivi razvijalec ponudil, da ga vključi med vzdrževalce projekta, pri razvoju katerega je prej sodeloval le v manjši meri. Poleg tega so bili podobni sumljivi scenariji za vsiljevanje njihove kode ugotovljeni v dveh bolj priljubljenih projektih JavaScript, ki nista povezana z organizacijo OpenJS. Predpostavlja se, da primeri niso osamljeni in vzdrževalci odprtokodnih projektov bi morali ostati pozorni pri sprejemanju kode in odobravanju novih razvijalcev.
Znaki, ki lahko kažejo na zlonamerno dejavnost, vključujejo dobronamerna, a hkrati agresivna in vztrajna prizadevanja malo znanih članov skupnosti, da se obrnejo na vzdrževalce ali vodje projektov z idejo o promociji njihove kode ali podelitvi statusa vzdrževalca. Pozornost je treba nameniti tudi nastanku podporne skupine okoli idej, ki se promovirajo, oblikovane iz fiktivnih posameznikov, ki prej niso sodelovali pri razvoju ali so se nedavno pridružili skupnosti.
Ko sprejemate spremembe, morate kot znake morebitne zlonamerne dejavnosti šteti poskuse vključitve binarnih podatkov v zahteve za združevanje (na primer v xz so bila v arhivih predložena stranska vrata za preizkušanje programa za razpakiranje) ali kodo, ki je zmedena ali težko razumljiva. Treba je razmisliti o poskusnih poskusih manjših sprememb, ki ogrožajo varnost, da se oceni odziv skupnosti in ugotovi, ali obstajajo ljudje, ki sledijo spremembam (npr. xz je zamenjal funkcijo Safe_fprintf s fprintf). Sum naj bi vzbudile tudi netipične spremembe v metodah zbiranja, sestavljanja in uvajanja projekta, uporaba artefaktov tretjih oseb in stopnjevanje občutka potrebe po nujnem sprejetju sprememb.
Vir: opennet.ru