Организация OpenSSF (Open Source Security Foundation), созданная под покровительством Linux Foundation для повышения безопасности открытого ПО, предупредила сообщество о выявлении активности, связанной с попытками получения контроля над популярными открытыми проектами, напоминающей по своему стилю действия злоумышленников в процессе подготовки к подстановке бэкдора в проект xz. По аналогии атакой на xz сомнительные личности, ранее глубоко не вовлечённые в разработку, пытались использовать методы социального инжиниринга для достижения своих целей.
Атакующие вступили в переписку с членами управляющего совета организации OpenJS Foundation, которая выступает нейтральной площадкой для совместной разработки открытых JavaScript-проектов, таких как Node.js, jQuery, Appium, Dojo, PEP, Mocha и webpack. В переписке, в которой принимало участие несколько сторонних разработчиков с сомнительной историей разработки открытого ПО, предпринимались попытки убедить руководство в необходимости обновить один из популярных JavaScript-проектов, курируемых организацией OpenJS.
В качестве причины обновления указывалось на необходимость добавления "защиты от любых критических уязвимостей". При этом никаких подробностей о сути уязвимостей не приводилось. Для реализации изменений подозрительный разработчик предложил включить его в число сопровождающих проект, в разработке которого он ранее принимал лишь небольшое участие. Кроме того, похожие подозрительные сценарии навязывания своего кода выявлены ещё в двух популярных JavaScript-проектах, не связанных с организацией OpenJS. Предполагается, что случаи не единичны и сопровождающим открытые проекты следует не терять бдительность при приёме кода и утверждении новых разработчиков.
Среди признаков, которые могут свидетельствовать о злонамеренной активности, упоминается доброжелательное, но в то же время агрессивное и настойчивое, приставание малоизвестных участников сообщества к сопровождающим или руководителям проектов с идеей продвижения своего кода или предоставления статуса сопровождающего. Внимание также следует обращать на появление группы поддержки вокруг продвигаемых идей, сформированной из вымышленных личностей, ранее не участвовавших в разработке или недавно присоединившихся в к сообществу.
При приёме изменений следует воспринимать как признаки потенциально вредоносных действий попытки включения в запросы на слияние бинарных данных (например, в xz бэкдор был передан в архивах для тестирования распаковщика) или запутанного или трудного для понимания кода. Следует обращать внимание на пробные попытки внесения изменений, незначительно снижающих безопасность, отправляемые для оценки реакции сообщества и проверки наличия лиц, отслеживающих изменения (например, в libarchive функцию Safe_fprintf было предложено заменить на fprintf). Подозрение также должны вызывать нетипичные изменения методов компиляции, сборки и развёртывания проекта, задействование сторонних артефактов и нагнетание ощущения необходимости срочного принятия изменений.
Источник: https://www.opennet.ru/opennews/art.shtml?num=61010
(opennet.ru, основная лента)
[ON] Попытки получения контроля над открытыми проектами, похожие на случай с пакетом xz
Модератор: Модераторы разделов
-
- Бот
- Сообщения: 6002
- ОС: gnu/linux
[ON] Попытки получения контроля над открытыми проектами, похожие на случай с пакетом xz
Последний раз редактировалось rssbot 17.04.2024 20:05, всего редактировалось 2 раза.
Причина: Updated upstream
Причина: Updated upstream
-
- Сообщения: 2550
- ОС: gentoo fluxbox
Re: [ON] Попытки получения контроля над открытыми проектами, похожие на случай с пакетом xz
Мошенники вообще обнаглели.
-
- Модератор
- Сообщения: 20929
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [ON] Попытки получения контроля над открытыми проектами, похожие на случай с пакетом xz
По описанию не так уж похоже, выглядит куда более топорно. И непонятно даже, когда дело было. Зачем скрывать подробности?
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
-
- Сообщения: 1446
- ОС: Slackware
Re: [ON] Попытки получения контроля над открытыми проектами, похожие на случай с пакетом xz
А что, в открытом сообществе все такие легкомысленные и наивные, что назначают сопровождающими кого угодно? Советы из разряда "не суй пальцы в розетку".
"Однажды один очень мудрый человек… ничего не сказал. Времена были опасные, да и собеседники ненадёжные"
-
- Модератор
- Сообщения: 20929
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: [ON] Попытки получения контроля над открытыми проектами, похожие на случай с пакетом xz
Вообще новость выглядит так, будто OSSF просто решила хайпануть. Абсолютно бессодержательно.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |