OpenSSF警告假冒维护者针对JavaScript项目

作为现代技术基础的开源软件社区正面临着来自社会工程攻击的日益增长的威胁。在未知恶意行为者试图控制OpenJS托管项目后,开源安全(OpenSSF)和OpenJS基金会针对社会工程接管开源项目发出了警报。

OpenJS基金会跨项目委员会负责托管数十亿个网站使用的流行JavaScript项目,最近收到一系列电子邮件,要求更新其中一个流行JavaScript项目以解决关键漏洞,但没有具体说明。作者希望OpenJS将他们指定为新的维护者,尽管没有人拥有该项目的特权访问权限。

根据OpenSSF的博客文章,好消息是OpenJS基金会采取了有效的安全措施,防止了对该项目的未经授权的访问。该基金会表现出了值得赞扬的积极主动性,向网络安全和基础设施安全局(CISA)和国土安全部报告了这一事件。

这种方法类似于最近涉及XZ Utils项目(一种流行的数据压缩工具)的事件,其中一个名为Jia Tan的恶意攻击者通过获得其维护者的信任来渗透该项目。这次攻击涉及专业知识的声称和恶意代码插入。

不久之后,oss-security邮件列表上发现了xz/liblzma中的后门,影响了5.6.0和5.6.1版本的xz压缩工具和库。幸运的是,在大范围损害发生之前,该漏洞被发现了。

开源软件可能对供应链的任何部分构成威胁,但社区的尽职调查和监督始终可以确保快速检测和解决。

开源维护者应谨慎对待社会工程,通过实施多重身份验证(MFA)等措施、授予贡献者正确的访问权限、进行严格的代码审查、培育强大的社区以及警惕未经请求的帮助。限制权限可以增加额外的安全性,同时也要警惕提供“关键”更新或请求访问的个人。

GitHub平台上托管着超过3000万个开源项目,凸显了它们被个人和企业广泛采用。然而,如此庞大的数量也使得这些项目成为网络犯罪分子利润丰厚的目标。

例如,几个月前,一个名为GambleForce的新黑客组织被发现利用开源工具成功破坏其目标。这鼓励了谷歌和欧盟专门针对开源工具的错误赏金计划等举措。

Chris Hughes是开源安全公司Endor Labs的首席安全顾问,也是CISA的网络创新研究员,专注于供应链安全。他表示,这些攻击尝试并不令人意外,但它们确实提高了人们对更大的OSS安全问题的认识。

“听到这些增加的社会工程接管尝试一点也不奇怪,而且随着最近的xz实用程序示例为恶意行为者提供有关如何进行此攻击的见解,这些尝试将会增加,事实上,我们可能怀疑其中许多已经是正在进行中,可能已经成功,但尚未暴露或识别。”克里斯警告道。

发表评论

评论已关闭。

相关文章