16 de abril de 2024Sala de prensaCadena de suministro/Seguridad de software Investigadores de seguridad han descubierto un intento de adquisición «creíble» dirigido a la Fundación OpenJS de una manera que evoca similitudes con el incidente recientemente descubierto dirigido al proyecto de código abierto XZ Utils. «El Consejo de Proyectos Cruzados de la Fundación OpenJS recibió una serie sospechosa de correos electrónicos con mensajes similares, con nombres diferentes y correos electrónicos superpuestos asociados a GitHub», dijeron la Fundación OpenJS y la Open Source Security Foundation (OpenSSF) en una alerta conjunta. Según Robin Bender Ginn, director ejecutivo de la Fundación OpenJS, y Omkhar Arasaratnam, director general de OpenSSF, los mensajes de correo electrónico instaban a OpenJS a tomar medidas para actualizar uno de sus populares proyectos JavaScript para remediar vulnerabilidades críticas sin proporcionar ningún detalle. Los autores del correo electrónico también pidieron a OpenJS que los designara como nuevo responsable del proyecto a pesar de haber tenido poca participación previa. También se dice que otros dos proyectos populares de JavaScript no alojados en OpenJS han recibido una actividad similar. Dicho esto, a ninguna de las personas que se pusieron en contacto con OpenJS se le concedió acceso privilegiado al proyecto alojado en OpenJS. El incidente pone de relieve el método por el cual el único mantenedor de XZ Utils fue atacado por personas ficticias que fueron creadas expresamente para lo que se cree que es una campaña de ingeniería social y presión diseñada para convertir a Jia Tan (también conocido como JiaT75) en un co- mantenedor del proyecto. Esto ha planteado la posibilidad de que el intento de sabotear XZ Utils no sea un incidente aislado y que sea parte de una campaña más amplia para socavar la seguridad de varios proyectos, dijeron los dos grupos de código abierto. Los nombres de los proyectos de JavaScript no fueron revelados. Jia Tan, tal como está, no tiene otras huellas digitales fuera de sus contribuciones, lo que indica que la cuenta fue inventada con el único propósito de ganar credibilidad de la comunidad de desarrollo de código abierto durante años y, en última instancia, abrir una puerta trasera sigilosa a XZ Utils. También sirve para señalar la sofisticación y la paciencia detrás de la planificación y ejecución de la campaña al centrarse en un proyecto de código abierto dirigido por voluntarios que se utiliza en muchas distribuciones de Linux, lo que pone a las organizaciones y a los usuarios en riesgo de sufrir ataques a la cadena de suministro. El incidente de la puerta trasera de XZ Utils también resalta la «fragilidad» del ecosistema de código abierto y los riesgos creados por el agotamiento del mantenedor, dijo la semana pasada la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA). «La carga de la seguridad no debería recaer en un mantenedor individual de código abierto, como sucedió en este caso con un efecto casi desastroso», dijeron los funcionarios de CISA Jack Cable y Aeva Black. «Cada fabricante de tecnología que se beneficia del software de código abierto debe hacer su parte siendo consumidor responsable y contribuyente sostenible a los paquetes de código abierto de los que depende». La agencia recomienda que los fabricantes de tecnología y los operadores de sistemas que incorporan componentes de código abierto deberían directamente o ayudar a los mantenedores a auditar periódicamente el código fuente, eliminar clases enteras de vulnerabilidades e implementar otros principios seguros por diseño. «Estos ataques de ingeniería social están explotando el sentido del deber que los mantenedores tienen con su proyecto y su comunidad para poder manipularlos», dijeron Bender Ginn y Arasaratnam. «Presta atención a cómo te hacen sentir las interacciones. Las interacciones que crean dudas sobre uno mismo, sentimientos de insuficiencia, de no hacer lo suficiente por el proyecto, etc., podrían ser parte de un ataque de ingeniería social». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.