OpenSSF(開源安全基金會)是在 Linux 基金會的支持下創建的,旨在提高開源軟體的安全性,它警告社群有關識別與試圖控制流行開源專案相關的活動,其風格讓人想起攻擊者在準備在項目xz 中安裝後門的過程中的行為。與對xz的攻擊類似,之前沒有深入參與開發的可疑人員試圖利用社會工程方法來實現他們的目標。
攻擊者與 OpenJS 基金會的管理委員會成員進行了通信,該基金會是共同開發 Node.js、jQuery、Appium、Dojo、PEP、Mocha 和 webpack 等開放 JavaScript 專案的中立平台。這些信件中包括幾位具有可疑開源開發歷史的第三方開發人員,他們試圖說服管理層需要更新由 OpenJS 組織策劃的熱門 JavaScript 專案之一。
據稱更新的原因是需要添加「針對任何嚴重漏洞的保護」。但是,沒有提供有關漏洞本質的詳細資訊。為了實施這些更改,可疑的開發人員提出讓他成為該專案的維護者,而他之前只參與了該專案的一小部分開發。此外,在與 OpenJS 組織無關的兩個更流行的 JavaScript 專案中也發現了類似的強加其程式碼的可疑場景。假設情況不是孤立的,開源專案的維護者在接受程式碼和批准新開發人員時應保持警惕。
可能表明惡意活動的跡象包括鮮為人知的社群成員出於善意,但同時又具有侵略性和持續性,試圖接近維護者或專案經理,以推廣他們的程式碼或授予維護者身分。還應注意圍繞所提倡的想法出現的支持小組,該小組由以前未參與開發或最近加入社區的虛構個人組成。
接受變更時,您應該將嘗試在合併請求中包含二進位資料(例如,在 xz 中,在檔案中提交後門以測試解包程式)或令人困惑或難以理解的程式碼視為潛在惡意活動的跡象。應考慮對提交的輕微安全損害變更進行試驗嘗試,以衡量社群回應並查看是否有人追蹤變更(例如 xz 以 fprintf 取代 Safe_fprintf 函數)。專案的編譯、組裝和部署方法的非典型變化、第三方工件的使用以及需要緊急採用變更的感覺的升級也應該引起懷疑。
來源: opennet.ru