Недавно специалисты в области кибербезопасности успешно предотвратили попытку взлома проекта на платформе OpenJS, которая в общих чертах очень напоминает недавний инцидент с бэкдором в утилите сжатия XZ Utils.
В понедельник, 15 апреля, некоммерческая организация OpenJS Foundation, которая занимается мониторингом проектов на JavaScript, используемых миллиардами сайтов по всему миру, получила серию подозрительных писем. Отправители просили срочно обновить один из популярных проектов для устранения критических уязвимостей, не уточняя деталей.
Робин Бендер Гинн из OpenJS и Омкар Арасаратнам из Open Source Security Foundation сообщили, что авторы писем настаивали на назначении их новыми управляющими одного из популярных проектов (название не разглашается), несмотря на отсутствие предыдущего опыта работы над ним.
Специалисты отметили сходство методов с действиями хакера по имени Цзя Тан, которому мы ранее посвятили отдельный материал. Именно Цзя Тан, за личностью которого могла скрываться целая команда опытных хакеров, ранее сумел внедрить бэкдор в утилиту XZ Utils.
Гинн и Арасаратнам подчеркнули, что никому из обратившихся не был предоставлен привилегированный доступ к проекту, так как специалисты быстро заподозрили неладное.
По словам Криса Хьюза из Endor Labs, примерно четверть всех проектов в области кибербезопасности имеют одного управляющего, а 94% проектов – менее десяти. Он отметил, что экосистема открытого программного обеспечения чрезвычайно неоднородна и уязвима из-за глобальной зависимости от анонимных и разрозненных разработчиков.
Официальные лица CISA, Джек Кейбл и Аева Блэк, выразили мнение о необходимости пересмотра подходов к безопасности в производстве технологий. Они утверждают, что компании, использующие открытое программное обеспечение, должны вносить свой вклад, поддерживая устойчивость экосистемы, в том числе финансово или за счёт времени разработчиков.
Арасаратнам также сообщил о планах Linux Foundation по разработке специальных руководств для управляющих проектами, которые могут столкнуться с агрессивными попытками перехвата управления. Он также подчеркнул важность поддержки управляющих в борьбе против социальной инженерии и манипуляций, которые потенциально могут привести к очень серьёзным последствиям.