Açık kaynak topluluğunda, ekosistemi kötü niyetli amaçlarla istismar etmeye çalışan organize ve muhtemelen devlet bağlantılı tehdit gruplarının olup olmadığı konusunda endişeler artıyor.
Açık Kaynak Güvenlik Vakfı ve OpenJS Vakfı’nın kurulmasının ardından daha fazla belirsizlik ortaya çıktı. Pazartesi ikinci bir sosyal mühendislik olayını açıkladıÇakışan GitHub hesaplarına sahip bir grup, yaygın olarak kullanılan bir JavaScript projesini devralmalarına izin vermek amacıyla OpenJS Vakfı Çapraz Proje Konseyi’ne e-postalar gönderdi.
E-posta yazarları, yaklaşık altı aylık bir süre boyunca, önceden çok az katılımları olmasına rağmen, projenin yeni sürdürücüleri olarak atanmayı talep ettiler. Etkinlik öncesinde gerçekleştirilen etkinlik XZ Utils kampanyasının açıklanmasıbazı benzerlikler taşıyordu ve yetkililer olayı Siber Güvenlik ve Altyapı Güvenliği Ajansı da dahil olmak üzere federal yetkililere bildirdi.
OSSF genel müdürü Omkhar Arasaratnam e-posta yoluyla şunları söyledi: “Soruşturma devam ederken, tehdit aktörünün motivasyonunu henüz anlayamıyoruz.” “Gelecekte bunu deneyecek başka aktörlerin de olabileceğine inanıyoruz ve bakımcılar projelerini araştırdıkça, atfedilmemiş önceki girişimleri keşfedebiliriz.”
OpenJS yetkilileri, bu ikinci sosyal mühendislik girişiminin ötesinde, vakıf tarafından barındırılmayan, yaygın olarak kullanılan en az iki diğer JavaScript projesini içeren şüpheli etkinliklerin farkına vardıklarını söyledi.
Örtüşen davranışlardan bazıları, katkıda bulunanların bakıcılardan ek erişim ve güven kazanmak için biraz fazla çaba harcamasının yanı sıra birden fazla ilgisiz katkıda bulunanı dahil edemeyecek kadar iyi koordine edilmiş görünen birden fazla “çorap kuklası” hesap arasındaki etkileşimleri içeriyordu.
Sonatype’in kurucu ortağı ve CTO’su Brian Fox, “Bu özel durumda, o kadar da temiz olmadıklarını söyleyebilirim” dedi. “Fakat XZ’den (saldırıdan) gördüğüm kadarıyla bazı hatalar yaptılar, bu da bir şeylerin şüpheli olduğunu ilk bakışta daha açık hale getirdi.”
Çok sayıda güvenlik araştırmacısı, XZ Utils sosyal mühendislik kampanyası sırasında, devlet bağlantılı aktör dahil olabilirkısmen 2021’den bu yana uzun yıllar süren tehdit faaliyeti nedeniyle.
Buna ek olarak, gerçek arka kapı, bir Microsoft mühendisinin Mart ayının sonlarında yanlışlıkla bazı anormal etkinlikleri açmasıyla keşfedilmedi.
Bu faaliyetlerin tamamı OpenJS liderlerine ve CISA yetkililerine açıklandı.
CISA, yeni açıklamalar hakkında yorum yapmayı reddetti ancak ajans, federal yetkililerin açık kaynak ekosistemini güvence altına almaya yönelik daha geniş çabalarının bir parçası olarak kaynakları artırmak ve güvenliği artırmak için açık kaynak topluluğuyla birlikte çalışıyor.
Tidelift’in ortak bakımcısı ve Nodejs alanındaki yüzlerce paketin bakımını yapan Jordan Harband’a göre bu açıklama, bireysel bakımcılar ve daha büyük topluluk arasında daha büyük endişelere yol açtı.
“Bunun yakalandığı için çok şanslıyım, hepimiz çok şanslıyız ve bu durum çok erken ve işleri geniş çapta savunmasız hale getirmeden önce yakalandığı için,” dedi Harband e-posta yoluyla.
FBI’ın yorum yapması hemen mümkün olmadı.