Las fundaciones Open Source Security (OpenSSF) y OpenJS han pedido a los mantenedores de código abierto que estén atentos a los intentos de adquisición, después de detectar múltiples ataques de ingeniería social que recuerdan a la reciente campaña de xz Utils. El Consejo de Proyectos Cruzados de la Fundación OpenJS afirmó en una nueva publicación de blog que recientemente recibió una serie de correos electrónicos sospechosos con mensajes similares y correos electrónicos superpuestos vinculados a GitHub, pero con nombres diferentes. Sin citar detalles específicos, los mensajes aparentemente pedían a OpenJS que actualizara urgentemente uno de sus populares proyectos de JavaScript para «abordar cualquier vulnerabilidad crítica». Los autores del correo electrónico exigieron que se les designara como nuevo responsable del proyecto para poder asumir este trabajo. Esto hizo sonar las alarmas en la fundación, ya que trazó fuertes paralelos con una táctica de ingeniería social similar empleada por ‘Jia Tan’, el mantenedor malicioso que se cree es responsable de la puerta trasera xz Utils/liblzma recientemente revelada. OpenJS dijo que detectó otros dos intentos similares de infiltrarse en dos proyectos JavaScript separados, que remitió a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA). OpenJS dijo que cree que la mejor manera de abordar este aparente aumento en los intentos de engañar a la comunidad de código abierto es crear conciencia. Con ese fin, publicó las siguientes señales de advertencia de actividad sospechosa: Persecución amistosa pero agresiva y persistente de un mantenedor o su fundación o empresa por parte de «miembros» relativamente desconocidos de la comunidad Una solicitud para ser elevado al estado de mantenedor por parte de personas nuevas o desconocidas Respaldo que proviene de otros miembros desconocidos de la comunidad que pueden estar usando identidades falsas Solicitudes de extracción (PR) que contienen blobs como artefactos para que no puedan ser leídos por humanos (a diferencia del código fuente) Código fuente intencionalmente ofuscado o difícil de entender Gradualmente crecientes problemas de seguridad diseñados para pasar desapercibida la actividad maliciosa. Desviación de las prácticas típicas de compilación, construcción e implementación de proyectos para permitir la inserción de cargas maliciosas externas en blobs, zips u otros artefactos binarios. Una falsa sensación de urgencia para obligar a un mantenedor a reducir la minuciosidad. de una revisión o eludir un control Una gran amenaza para el código abierto Chris Hughes, asesor jefe de seguridad de Endor Labs, advirtió que estos ataques representan una gran amenaza para la comunidad de software y código abierto, y que es posible que muchos intentos de infiltrarse en proyectos ya se hayan realizado. exitoso. Se sabe que Jia Tan estaba trabajando en proyectos distintos a xz Utils, por ejemplo. “La mayoría de los proyectos de código abierto carecen increíblemente de financiación y están dirigidos por un solo grupo o un pequeño grupo de mantenedores, por lo que utilizar ataques de ingeniería social contra ellos no es sorprendente y, dado lo vulnerable que es el ecosistema y las presiones a las que están sometidos los mantenedores, probablemente agradecerán la ayuda. en muchos casos”, continuó Hughes. «Si los atacantes lo hacen bien, puede resultar difícil para los mantenedores determinar qué participación proviene de aquellos interesados ​​en colaborar y contribuir a los proyectos frente a aquellos con intenciones maliciosas». Lea más sobre las amenazas de código abierto: Un colaborador de confianza coloca una puerta trasera sofisticada en una biblioteca crítica de código abierto