OpenSSF(开源安全基金会)是在 Linux 基金会的支持下创建的,旨在提高开源软件的安全性,它警告社区有关识别与试图控制流行开源项目相关的活动,其风格让人想起攻击者在准备在项目 xz 中安装后门的过程中的行为。与对xz的攻击类似,之前没有深入参与开发的可疑人员试图利用社会工程方法来实现他们的目标。
攻击者与 OpenJS 基金会的管理委员会成员进行了通信,该基金会是联合开发 Node.js、jQuery、Appium、Dojo、PEP、Mocha 和 webpack 等开放 JavaScript 项目的中立平台。这些信件中包括几位具有可疑开源开发历史的第三方开发人员,他们试图说服管理层需要更新由 OpenJS 组织策划的流行 JavaScript 项目之一。
据称更新的原因是需要添加“针对任何严重漏洞的保护”。但是,没有提供有关漏洞本质的详细信息。为了实施这些更改,可疑的开发人员提出让他成为该项目的维护者,而他之前只参与了该项目的一小部分开发。此外,在与 OpenJS 组织无关的两个更流行的 JavaScript 项目中也发现了类似的强加其代码的可疑场景。假设情况不是孤立的,开源项目的维护者在接受代码和批准新开发人员时应保持警惕。
可能表明恶意活动的迹象包括鲜为人知的社区成员出于善意,但同时又具有侵略性和持续性,试图接近维护者或项目经理,以推广他们的代码或授予维护者身份。还应注意围绕所提倡的想法出现的支持小组,该小组由以前未参与开发或最近加入社区的虚构个人组成。
接受更改时,您应该将尝试在合并请求中包含二进制数据(例如,在 xz 中,在存档中提交后门以测试解包程序)或令人困惑或难以理解的代码视为潜在恶意活动的迹象。应考虑对提交的轻微安全损害更改进行试验尝试,以衡量社区响应并查看是否有人跟踪更改(例如 xz 用 fprintf 替换 Safe_fprintf 函数)。项目的编译、组装和部署方法的非典型变化、第三方工件的使用以及需要紧急采用变化的感觉的升级也应该引起怀疑。
来源: opennet.ru