tux-hacker
Інцидент на XZ, безсумнівно, залишить слід який запам'ятається на довгі роки і полягає в тому, що, як згадка в той час В одній зі статей, де ми ділимося продовженням інциденту, «робота, виконана Цзя Таном es один із найкращих прикладів прикладної соціальної інженерії» і це стане основою для багатьох інших спроб і випадків, про які стане відомо в майбутньому.
Це Це те, про що розробники, проекти та фонди зараз дуже чітко розуміють., і що, незважаючи на великі зусилля та зміни, які вони впроваджують, є багато пакетів і проектів, яким не вистачає персоналу, а їхні супроводжувачі можуть потрапити в щось подібне до того, що сталося з XZ.
Такі випадки вже почали траплятися і в OpenSSF (Open Source Security Foundation, організація, створена під егідою Linux Foundation для покращення безпеки програмного забезпечення з відкритим кодом) Ви вже почали помічати цей вид діяльності, оскільки нещодавно він попередив спільноту про тривожні дії, пов’язані зі спробами взяти під контроль популярні проекти з відкритим кодом.
En Інцидент, схожий на напад на xz, було виявлено, що невідомі особи раніше розроблявся з відкритим кодом намагався маніпулювати та контролювати проекти програмного забезпечення з відкритим кодом. Ці особи використовували методи соціальної інженерії для спілкування з членами керівної ради від OpenJS Foundation, нейтральна платформа для розробки проектів на JavaScript.
Ці особи включив сторонніх розробників із сумнівним досвідом у розробці з відкритим кодом. У своїх повідомленнях вони намагалися переконати керівництво OpenJS в терміновій необхідності оновлення одного з популярних проектів JavaScript. Вони стверджували, що оновлення було необхідне для додавання захисту від критичних вразливостей, хоча вони не надали конкретних деталей про ці вразливості.
Щоб впровадити запропоновані зміни, підозрюваний розробник запропонував бути включеним до супроводжуючих проекту, незважаючи на те, що він мав обмежену роль у розробці до цього моменту. Крім того, подібні випадки спроб підозрілого коду були виявлені в двох інших популярних проектах JavaScript, не пов’язаних з OpenJS.
Ось чому OpenSSF (Фонд безпеки з відкритим кодом) і OpenJS (Фонд OpenJS) винесли попередження Усі розробники та супроводжувачі проектів з відкритим вихідним кодом повинні стежити за такими підозрілими моделями, які можуть свідчити про спробу взяти під контроль проект.
Як захистити свій проект з відкритим кодом?
OpenSSF зазначає, що завдяки спільному характеру проектів з відкритим кодом це робить їх схильними до низки вразливостей, якими можуть скористатися зловмисники, тому він ділиться списком найпоширеніших уразливостей, якими зловмисники користуються для застосування соціальних інженерія.
Підозрілі схеми в спробах:
- Застарілі залежності: Однією з найпоширеніших уразливостей є використання застарілих залежностей.
- Доброзичлива, але агресивна та наполеглива поведінка: Відносно невідомий член спільноти намагається переслідувати супроводжуючого або організацію, яка його розміщує (фундацію чи компанію).
- Прохання про підвищення в званні: Нові або невідомі люди подають заявки на підвищення, не маючи значної історії внеску в проект.
- Підтримка інших невідомих учасників спільноти: Зловмисники можуть використовувати фальшиві дані, щоб підтвердити свої запити та створити помилкове відчуття довіри.
- Запити на витягування: Шкідливі файли можуть бути приховані в бінарних файлах або блобах, що ускладнює їх виявлення.
- Навмисно заплутаний або важкий для розуміння вихідний код: Мета полягає в тому, щоб ускладнити перевірку коду та приховати потенційні вразливості.
- Поступове загострення проблем безпеки: Зловмисник може почати з введення незначних уразливостей, а потім перерости до більш серйозних проблем.
- Відхилення від типових практик компіляції, побудови та розгортання проекту: Ці відхилення можуть дозволити вставити шкідливий код у двійкові файли.
Помилкове почуття терміновості: Зловмисник може створити термінове середовище, щоб натиснути на супроводжуючого, щоб він виконав поверхневий перегляд коду.
Ці атаки соціальної інженерії прагнуть скористатися почуттям обов’язку, яке супроводжуючі мають перед своїми проектами та спільнотами, щоб маніпулювати ними, оскільки, створюючи тиск для внесення змін, усунення вразливостей або надання більшої довіри учасникам у дуже Наполегливому, вони змушують відповідальна особа чи люди здаються перед перевіркою чи проведенням відповідних тестів.
Якщо ти яЦікаво дізнатися більше про це, Ви можете перевірити деталі в за наступним посиланням.