Pesquisadores de segurança descobriram uma tentativa de aquisição “credível” visando a OpenJS Basis de uma maneira que evoca semelhanças com o incidente recentemente descoberto direcionado ao projeto de código aberto XZ Utils.
“O OpenJS Basis Cross Mission Council recebeu uma série suspeita de e-mails com mensagens semelhantes, com nomes diferentes e e-mails sobrepostos associados ao GitHub”, disseram a OpenJS Basis e a Open Supply Safety Basis (OpenSSF) em um alerta conjunto.
De acordo com Robin Bender Ginn, diretor executivo da OpenJS Basis, e Omkhar Arasaratnam, gerente geral da OpenSSF, as mensagens de e-mail instaram o OpenJS a tomar medidas para atualizar um de seus populares projetos JavaScript para remediar vulnerabilidades críticas sem fornecer quaisquer detalhes.
O(s) autor(es) do e-mail também pediu ao OpenJS que os designasse como novo mantenedor do projeto, apesar de terem pouco envolvimento anterior. Dois outros projetos JavaScript populares não hospedados pelo OpenJS também teriam recebido atividades semelhantes.
Dito isto, nenhuma das pessoas que contataram o OpenJS teve acesso privilegiado ao projeto hospedado pelo OpenJS.
O incidente coloca em foco o método pelo qual o único mantenedor do XZ Utils foi alvo de personas fictícias que foram expressamente criadas para o que se acredita ser uma campanha de engenharia social e pressão projetada para tornar Jia Tan (também conhecido como JiaT75) um co- mantenedor do projeto.
Jia Tan, tal como está, não tem outras pegadas digitais além de suas contribuições, indicando que a conta foi inventada com o único propósito de ganhar a credibilidade da comunidade de desenvolvimento de código aberto ao longo dos anos e, em última análise, abrir um backdoor furtivo no XZ Utils.
Também serve para identificar a sofisticação e paciência que estiveram por trás do planejamento e execução da campanha, visando um projeto de código aberto administrado por voluntários que é usado em muitas distribuições Linux, colocando organizações e usuários em risco de ataques à cadeia de suprimentos.
O incidente do backdoor do XZ Utils também destaca a “fragilidade” do ecossistema de código aberto e os riscos criados pelo esgotamento do mantenedor, disse a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) na semana passada.
“O fardo da segurança não deveria recair sobre um mantenedor particular person de código aberto – como aconteceu neste caso com um efeito quase desastroso”, disseram os funcionários da CISA Jack Cable e Aeva Black.
“Todos os fabricantes de tecnologia que lucram com software program de código aberto devem fazer a sua parte, sendo consumidores responsáveis e contribuintes sustentáveis dos pacotes de código aberto dos quais dependem.”
A agência recomenda que os fabricantes de tecnologia e operadores de sistemas que incorporam componentes de código aberto devam apoiar diretamente ou apoiar os mantenedores na auditoria periódica do código-fonte, eliminando lessons inteiras de vulnerabilidades e implementando outros princípios seguros desde o design.
“Esses ataques de engenharia social estão explorando o senso de dever que os mantenedores têm para com seu projeto e sua comunidade, a fim de manipulá-los”, disseram Bender Ginn e Arasaratnam.
“Preste atenção em como as interações fazem você se sentir. Interações que criam dúvidas, sentimentos de inadequação, de não fazer o suficiente pelo projeto, and many others. podem ser parte de um ataque de engenharia social.”
