.webp "Bilgisayar Korsanları JavaScript Projesini OpenJS Vakfından Devralmaya Çalıştı")
Saldırganlar, dünya çapında milyarlarca web sitesinin kullandığı JavaScript projelerine ev sahipliği yapan OpenJS Vakfı’ndan JavaScript projesini devralmaya çalıştı.
Bu, yakın zamanda açıklanan ve (CVE-2024-3094) olarak izlenen açık kaynaklı XZ Utils’i hedef alan olaya benzer.
XZ Utils yazılımı tedarik zinciri ihlali, saldırganın geçerli kod katkıları yaparak birkaç yıl boyunca proje yöneticisinin güvenini kazandığı yüksek vasıflı bir sosyal mühendislik operasyonunun sonucuydu.
Açık Kaynak Güvenlik Vakfı (OpenSSF) ve OpenJS, benzer güvenilir bir devralma girişimi hakkında ortak bir uyarı yayınlayarak kullanıcılara gelişen saldırı modellerini belirlemelerini ve açık kaynak projelerini güvence altına almak için önlemler almalarını tavsiye etti.
Ek Güvenilir Devralma Girişiminin Özellikleri
Uyarıda “OpenJS Vakfı Çapraz Proje Konseyi, benzer mesajlar içeren, farklı isimler taşıyan ve GitHub ile ilişkili e-postalarla örtüşen şüpheli bir dizi e-posta aldı” ifadesine yer veriliyor.
“Bu e-postalar, OpenJS’den popüler JavaScript projelerinden birini “kritik güvenlik açıklarını ele alacak” şekilde güncellemesi için harekete geçmesi için yalvardı, ancak hiçbir ayrıntıdan bahsedilmedi.”
Free Live Webinar.for DIFR/SOC Teams: En İyi 3 KOBİ Siber Saldırı Vektörünün Güvenliğini Sağlama - Buradan Kayıt Olun
Geçmişte çok az katılımı olmasına rağmen, e-posta yazar(lar)ı OpenJS’den kendilerini projenin yeni koruyucusu olarak atamasını talep etti.
“Jia Tan”ın kendisini XZ/liblzma arka kapısında konumlandırma şekli bu stratejiye oldukça benziyor.
Bu kişilerin hiçbirine OpenJS tarafından barındırılan projeye özel erişim izni verilmedi.
Bu durumda, bakımcı olarak kaynak koduna idari erişim, herhangi bir sorun için “hızlı çözüm” olarak sunulmaz ve bunun yerine daha yüksek derecede kazanılmış güven gerektirir.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), geçen hafta XZ Utils arka kapı olayının aynı zamanda açık kaynak ekosisteminin “kırılganlığını” ve bakımcı zayıflığının getirdiği riskleri de vurguladığını belirtti.
Rapor, etkileşimlerin sizi nasıl hissettirdiğine dikkat etmenizi önerdi. Bir sosyal mühendislik saldırısı, kendinden şüphe duymayı, yetersizlik duygularını, proje için yeterince çaba göstermediğiniz fikrini vb. besleyen etkileşimleri içerebilir.
Sosyal Mühendislik Devralmalarıyla İlişkili Olağandışı Modeller
- Nispeten bilinmeyen topluluk üyeleri, kibarca ama agresif bir şekilde ve ısrarla bakımcıyı veya barındırılan varlığı takip ediyor.
- Yeni veya kimliği belirsiz kişilerden koruyucu statüsüne terfi talebi.
- Aynı şekilde “çorap kuklaları” gibi bahanelerle hareket eden kimliği belirsiz topluluk üyelerinin onayı.
- Yapıt olarak dahil edilen bloblara sahip PR’ler.
- Kaynak kodunun kasıtlı olarak gizlenmesi veya anlaşılmasının zor olması.
- Güvenlik sorunları giderek artıyor.
- Standart proje dağıtımı, oluşturma ve derleme prosedürlerinden sapma, dışarıdan gelen kötü amaçlı yüklerin zip dosyaları veya bloblar gibi ikili yapılara eklenmesini mümkün kılabilir.
- Özellikle bakımcıyı bir kontrolü atlamaya veya daha az dikkatle inceleme yapmaya zorluyorsa, aciliyet yanılsaması.
Buna ek olarak OpenSSF, endüstri standardı en iyi güvenlik uygulamalarının, güçlü kimlik doğrulamanın, “koordineli açıklamayı” içeren bir güvenlik politikasının ve yeni kodun birleştirilmesi için ortaya çıkan en iyi uygulamaların izlenmesini önerir.
Looking to Safeguard Your Company from Advanced Cyber Threats? Deploy TrustNet to Your Radar ASAP.