Фонды открытого исходного кода предупреждают, что XZ Utils, возможно, была не единственной целью саботажа
Бэкдор XZ Utils, который недавно вызвал волну беспокойства в сообществе Linux, возможно, был только началом.
Согласно совместному заявлению Open Source Security Foundation и OpenJS Foundation, бэкдор XZ Utils (CVE-2024-3094), возможно, не был изолированным инцидентом.
Если вы не знаете о саге о XZ Utils, мой уважаемый коллега Стивен Вон-Николс рассказал об этой истории в статье «Этот бэкдор почти заразил Linux повсюду: XZ Utils на грани опасности». Короче говоря, инженер Microsoft обнаружил, что разработчик утилиты сжатия данных XZ Цзя Тан вставил в код бэкдор, чтобы злоумышленники могли захватить системы Linux.
Эти фонды, предполагающие, что существуют доказательства подобных вероятных попыток поглощения, означают, что всем следует обратить на это внимание.
Совет перекрестных проектов OpenJS Foundation получил серию подозрительных электронных писем, в которых OpenJS умоляли обновить один из своих популярных проектов JavaScript, чтобы «устранить любые критические уязвимости». В подозрительных письмах не было никакой конкретики, но автор хотел, чтобы OpenJS назначил его новым сопровождающим проекта, и именно так Джин Тан вставил свой бэкдор в XZ.
Фонд заявил, что этот проект был не единственным, на который была направлена атака. По меньшей мере два других проекта также были объектом внимания. Угрозы безопасности были немедленно отмечены.
В совместном заявлении OpenJS Foundation говорится: «Вместе с Linux Foundation мы хотим повысить осведомленность об этой постоянной угрозе для всех разработчиков открытого исходного кода и предложить практические рекомендации и ресурсы от нашего широкого сообщества экспертов в области безопасности и открытого исходного кода. "
Затем два фонда перечислили известные подозрительные схемы поглощений с помощью социальной инженерии:
- Дружелюбное, но агрессивное стремление к сопровождающему
- Запрос на повышение статуса сопровождающего
- Одобрение других неизвестных сторон
- Запросы на включение, содержащие большие двоичные объекты в качестве артефактов
- Намеренно запутанный или трудный для понимания исходный код.
- Постепенная эскалация проблем безопасности
- Отклонение от типичных методов компиляции, сборки и развертывания проекта.
- Ложное чувство срочности
Если вы (или ваш проект) столкнулись с таким поведением, обязательно прочтите руководства OpenSSF, а также сообщение в блоге CISA «Как избежать социальной инженерии и фишинговых атак».