Фонды Open Source Security (OpenSSF) и OpenJS выступили с предупреждением о возможном поглощении открытых программных проектов путём манипуляций. Организации, находящиеся на передовой разработки ПО с открытым исходным кодом, полагают, что недавние случаи использования бэкдора XZ Utils (CVE-2024-3094) могут быть частью спланированной кампании по захвату таких проектов. Ещё одну подобную попытку удалось пресечь фонду OpenJS, который курирует проекты JavaScript, используемые миллиардами сайтов по всему миру.
Фонды OpenSSF и OpenJS призывают всех разработчиков открытого ПО проявлять бдительность, распознавать первые признаки угрозы и предпринимать шаги для защиты своих проектов. Фонд OpenJS получил подозрительную серию электронных писем с похожими сообщениями, написанными под разными именами, а также похожими электронными адресами, связанными с GitHub. Авторы писем просили OpenJS принять меры по обновлению одного из своих популярных проектов JavaScript для устранения любых критических уязвимостей, но не предоставили никаких подробностей. Они также хотели, чтобы OpenJS назначил их новыми сопровождающими проекта, несмотря на отсутствие предыдущего опыта работы над ним. Такой же подход использовал некий Цзя Тан в случае с бэкдором XZ/liblzma.
Ни одному из этих лиц не был предоставлен привилегированный доступ к проекту, размещённому на OpenJS, поскольку в проекте действуют строгие политики безопасности. Команда OpenJS также выявила аналогичную подозрительную активность в двух других популярных проектах JavaScript, не поддерживаемых его фондом, и немедленно сообщила о потенциальных проблемах безопасности руководителям OpenJS и Агентству по кибербезопасности и безопасности инфраструктуры (CISA) США.
Проекты с открытым исходным кодом всегда приветствуют вклад от кого угодно и откуда угодно, однако предоставление пользователям административного доступа к исходному коду требует более высокого уровня доверия. OpenSSF и OpenJS выпустили рекомендации пользователям и администраторам площадок с открытым исходным кодом, где описали тактику злоумышленников, а именно: создание иллюзии срочности, доброжелательность, смешанная с агрессивной настойчивостью, запрос на повышение статуса до сопровождающего проекта от неизвестных лиц. Кроме того, в предупреждении даны советы по повышению безопасности проектов с открытым исходным кодом. Среди них — использование многофакторной аутентификации, безопасных менеджеров паролей, парольной гигиены, тщательной проверки кода перед слиянием и внимательного изучения своих коммитеров.
Фонды OpenSSF и OpenJS призывают всех разработчиков открытого ПО проявлять бдительность, распознавать первые признаки угрозы и предпринимать шаги для защиты своих проектов. Фонд OpenJS получил подозрительную серию электронных писем с похожими сообщениями, написанными под разными именами, а также похожими электронными адресами, связанными с GitHub. Авторы писем просили OpenJS принять меры по обновлению одного из своих популярных проектов JavaScript для устранения любых критических уязвимостей, но не предоставили никаких подробностей. Они также хотели, чтобы OpenJS назначил их новыми сопровождающими проекта, несмотря на отсутствие предыдущего опыта работы над ним. Такой же подход использовал некий Цзя Тан в случае с бэкдором XZ/liblzma.
Ни одному из этих лиц не был предоставлен привилегированный доступ к проекту, размещённому на OpenJS, поскольку в проекте действуют строгие политики безопасности. Команда OpenJS также выявила аналогичную подозрительную активность в двух других популярных проектах JavaScript, не поддерживаемых его фондом, и немедленно сообщила о потенциальных проблемах безопасности руководителям OpenJS и Агентству по кибербезопасности и безопасности инфраструктуры (CISA) США.
Проекты с открытым исходным кодом всегда приветствуют вклад от кого угодно и откуда угодно, однако предоставление пользователям административного доступа к исходному коду требует более высокого уровня доверия. OpenSSF и OpenJS выпустили рекомендации пользователям и администраторам площадок с открытым исходным кодом, где описали тактику злоумышленников, а именно: создание иллюзии срочности, доброжелательность, смешанная с агрессивной настойчивостью, запрос на повышение статуса до сопровождающего проекта от неизвестных лиц. Кроме того, в предупреждении даны советы по повышению безопасности проектов с открытым исходным кодом. Среди них — использование многофакторной аутентификации, безопасных менеджеров паролей, парольной гигиены, тщательной проверки кода перед слиянием и внимательного изучения своих коммитеров.
