16.04.2024  Экспертиза, Безопасность, Открытый код/Linux

После недавней истории со взломом XZ Utils, мейнтейнеры другого проекта с открытым исходным кодом заявили, что они, возможно, подверглись подобным атакам с использованием социальной инженерии, сообщает портал ComputerWeekly. Open Source Security Foundation (OpenSSF) и OpenJS Foundation, поддерживающие множество проектов открытого программного обеспечения (OSS) на базе JavaScript, предупредили, что попытка применения методов социальной инженерии, замеченная ранее в апреле 2024 г. в отношении библиотеки сжатия данных XZ Utils, может быть не единичным случаем. В ходе атаки субъект угрозы, известный как Цзя Тан (JiaTan), в течение нескольких лет проникал в проект XZ Utils, вошел в доверие к мейнтейнерам проекта и вносил легитимные обновления в ПО, а затем попытался внедрить уязвимость бэкдора CVE-2024-3094, которая могла бы привести к катастрофе, если бы не оперативные действия проницательного исследователя. Теперь OpenSSF и OpenJS призывают всех мейнтейнеров открытого кода быть бдительными к подобным попыткам захвата — после того, как совет проекта OpenJS Cross получил несколько подозрительных писем с просьбой обновить один из своих проектов для устранения критических уязвимостей без указания каких-либо конкретных деталей. Робин Бендер Гинн, исполнительный директор OpenJS Foundation, и Омхар Арасаратнам, генеральный директор OpenSSF, заявили, что авторы писем, которые носили разные имена, но присылали их с пересекающихся аккаунтов на GitHub, хотели быть назначенными ... читать далее.