Güvenlik araştırmacıları, açık kaynaklı XZ Utils projesini hedef alan yakın zamanda ortaya çıkarılan olayla benzerlikler uyandıracak şekilde OpenJS Vakfı’nı hedef alan “güvenilir” bir devralma girişimini ortaya çıkardı.
OpenJS Vakfı ve Açık Kaynak Güvenlik Vakfı (OpenSSF) ortak bir uyarıda şunları söyledi: “OpenJS Vakfı Çapraz Proje Konseyi, benzer mesajlar içeren, farklı isimler taşıyan ve GitHub ile ilişkili e-postalarla örtüşen şüpheli bir dizi e-posta aldı.”
OpenJS Vakfı genel müdürü Robin Bender Ginn ve OpenSSF genel müdürü Omkhar Arasaratnam’a göre, e-posta mesajları OpenJS’yi herhangi bir ayrıntı vermeden, kritik güvenlik açıklarını düzeltmek için popüler JavaScript projelerinden birini güncellemek üzere harekete geçmeye teşvik etti.
E-posta yazar(lar)ı ayrıca önceden çok az katılımı olmasına rağmen OpenJS’yi kendilerini projenin yeni koruyucusu olarak atamaya çağırdı. OpenJS tarafından barındırılmayan diğer iki popüler JavaScript projesinin de benzer faaliyetlere maruz kaldığı söyleniyor.
Bununla birlikte, OpenJS ile iletişime geçen hiçbir kişiye OpenJS tarafından barındırılan projeye ayrıcalıklı erişim hakkı verilmedi.
Olay, XZ Utils’in tek sahibinin, Jia Tan’ı (diğer adıyla JiaT75) ortak bir şirket haline getirmek için tasarlanmış bir sosyal mühendislik ve baskı kampanyası olduğuna inanılan bir şey için açıkça yaratılmış hayali kişiler tarafından hedef alındığı yöntemi net bir şekilde ortaya koyuyor. projenin sürdürücüsü.
İki açık kaynak grubu, bunun, XZ Utils’i sabote etme girişiminin münferit bir olay olmayabileceği ve bunun çeşitli projelerin güvenliğini baltalamaya yönelik daha geniş bir kampanyanın parçası olma olasılığını artırdığını söyledi. JavaScript projelerinin adları açıklanmadı.
Jia Tan’ın katkıları dışında başka dijital ayak izi yok; bu da hesabın yalnızca açık kaynak geliştirme topluluğunun yıllar içinde güvenilirliğini kazanmak ve sonuçta XZ Utils’e gizli bir arka kapı açmak amacıyla icat edildiğini gösteriyor.
Aynı zamanda birçok Linux dağıtımında kullanılan, açık kaynaklı, gönüllüler tarafından yürütülen bir projeyi hedefleyerek kampanyayı planlama ve yürütmenin ardındaki karmaşıklık ve sabrın belirlenmesine de hizmet ediyor ve kuruluşları ve kullanıcıları tedarik zinciri saldırıları riskine sokuyor.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) geçen hafta yaptığı açıklamaya göre, XZ Utils arka kapı olayı aynı zamanda açık kaynak ekosisteminin “kırılganlığını” ve bakımcı tükenmişliğinin yarattığı riskleri de vurguluyor.
CISA yetkilileri Jack Cable ve Aeva Black, “Güvenlik yükü, bu vakada olduğu gibi, neredeyse felakete yol açacak şekilde, bireysel bir açık kaynak bakımcısının sırtına binmemeli” dedi.
“Açık kaynak yazılımdan kâr elde eden her teknoloji üreticisi, bağımlı oldukları açık kaynak paketlerinin sorumlu tüketicileri ve sürdürülebilir katkıda bulunanları olarak üzerine düşeni yapmalıdır.”
Ajans, açık kaynak bileşenleri içeren teknoloji üreticilerinin ve sistem operatörlerinin, kaynak kodunun periyodik olarak denetlenmesi, tüm güvenlik açığı sınıflarının ortadan kaldırılması ve diğer tasarım gereği güvenli ilkelerin uygulanması konusunda doğrudan ya da bakımcıları desteklemesini tavsiye ediyor.
Bender Ginn ve Arasaratnam, “Bu sosyal mühendislik saldırıları, bakımcıların projeleri ve toplulukları manipüle etmek için sahip oldukları görev duygusunu istismar ediyor.” dedi.
“Etkileşimlerin size nasıl hissettirdiğine dikkat edin. Kendinden şüphe duyma, yetersizlik duygusu, proje için yeterince şey yapmama vb. yaratan etkileşimler, sosyal mühendislik saldırısının parçası olabilir.”