İki açık kaynak grubu bir uyarıda, bilinmeyen bir aktörün yaygın olarak kullanılan bir yazılım programını sabote etmeye yönelik son girişiminin, internetteki dijital altyapının önemli parçalarını yıkmaya yönelik çeşitli girişimlerden biri olabileceğini söyledi.
Açık Kaynak Güvenlik Vakfı ve OpenJS Vakfı ortak bir açıklamada, dünya çapında Linux işletim sistemlerine eklenen az bilinen bir program olan XZ Utils’e gizli bir arka kapı yerleştirme girişiminin “münferit bir olay olmayabileceğini” söyledi. “
En az üç farklı JavaScript projesinin, şüpheli güncellemeler talep eden veya hedeflenen yazılımın koruyucusu olmayı isteyen isimsiz kişiler tarafından hedef alındığını söylediler.
JavaScript programlama dili, modern web’in büyük bir kısmına güç vermektedir ve dünya çapında yoğun bir şekilde kullanılmaktadır. Açık Kaynak Güvenlik Vakfı’nın genel müdürü Omkhar Arasaratnam, hedeflenen paketlerden birinin tek başına haftada on milyonlarca indirmeye ulaştığını söyledi.
Devam eden bir soruşturmayı korumak istediğini söyleyerek JavaScript projelerini isimleriyle tanımlamayı reddetti.
Arasaratnam ayrıca şüpheli kötü niyetli aktörlerin ne yapmayı umdukları belli olmasa da – “onları o kadar ileri gitmeden durdurduk” – bu projelere de arka kapılar inşa etmeyi umduklarından şüphelendiğini söyledi.
OpenJS ve Açık Kaynak Güvenlik Vakıfları, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nı şüpheli sızıntı konusunda uyardıklarını söyledi.
Ajans, yorum isteyen bir mesaja hemen yanıt vermedi.