Pesquisadores de segurança descobriram uma tentativa de "takeover" considerada "crível" visando a OpenJS Foundation, de uma maneira que lembra o incidente recentemente descoberto direcionado ao projeto open-source XZ Utils.
"O Conselho de Projeto Cruzado da OpenJS Foundation recebeu uma série suspeita de emails com mensagens semelhantes, portando nomes diferentes e emails associados ao GitHub sobrepostos," disseram a OpenJS Foundation e a Open Source Security Foundation (OpenSSF) em um alerta conjunto.
De acordo com Robin Bender Ginn, diretor executivo da OpenJS Foundation, e Omkhar Arasaratnam, gerente geral da OpenSSF, as mensagens de e-mail instavam a OpenJS a tomar medidas para atualizar um de seus populares projetos JavaScript a fim de remediar vulnerabilidades críticas, sem fornecer detalhes específicos.
O(s) autor(es) do email também solicitou(aram) que a OpenJS os designasse como novo mantenedor do projeto, apesar de terem pouco envolvimento anterior.
Diz-se também que outros dois populares projetos JavaScript, não hospedados pela OpenJS, foram alvo de atividades semelhantes.
Dito isto, nenhuma das pessoas que contatou a OpenJS recebeu acesso privilegiado ao projeto hospedado pela OpenJS.
O incidente coloca em foco o método pelo qual o único mantenedor do XZ Utils foi alvo de personas fictícias que foram expressamente criadas para o que se acredita ser uma campanha de engenharia social combinada com pressão, projetada para fazer de Jia Tan (também conhecido como JiaT75) um co-mantenedor do projeto.
Isso levantou a possibilidade de que a tentativa de sabotar o XZ Utils não seja um incidente isolado e que faça parte de uma campanha mais ampla para minar a segurança de vários projetos, disseram os dois grupos de código aberto.
Os nomes dos projetos JavaScript não foram divulgados.
Jia Tan, como está, não possui outras pegadas digitais fora de suas contribuições, indicando que a conta foi inventada com o único propósito de ganhar a credibilidade da comunidade de desenvolvimento open-source ao longo dos anos e, em última análise, inserir uma backdoor sorrateira no XZ Utils.
Isso também serve para destacar a sofisticação e a paciência que foram empregadas na planejamento e execução da campanha, visando um projeto open-source gerido por voluntários que é usado em muitas distribuições Linux, colocando organizações e usuários em risco de ataques à cadeia de suprimentos.
O incidente da backdoor no XZ Utils também destaca a "fragilidade" do ecossistema open-source e os riscos criados pela exaustão dos mantenedores, disse a Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA) na semana passada.
"O ônus da segurança não deve recair sobre um único mantenedor open-source — como aconteceu neste caso, com efeito quase desastroso," disseram os oficiais da CISA, Jack Cable e Aeva Black.
Todo fabricante de tecnologia que lucra com o software open-source deve fazer sua parte, sendo consumidores responsáveis e contribuintes sustentáveis para os pacotes open-source nos quais dependem.
A agência está recomendando que fabricantes de tecnologia e operadores de sistemas que incorporam componentes open-source devem, direta ou indiretamente, apoiar os mantenedores na auditoria periódica do código-fonte, eliminando classes inteiras de vulnerabilidades e implementando outros princípios seguros por design.
"Esses ataques de engenharia social estão explorando o senso de dever que os mantenedores têm com seu projeto e comunidade a fim de manipulá-los," disseram Bender Ginn e Arasaratnam.
Preste atenção em como as interações fazem você se sentir. Interações que criam dúvida em si mesmo, sentimentos de inadequação, de não fazer o suficiente pelo projeto, etc., podem ser parte de um ataque de engenharia social.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...