OpenJS Foundation gericht op potentiële overnamepoging van JavaScript-project

Beveiligingsonderzoekers hebben een ‘geloofwaardige’ overnamepoging ontdekt die zich richt op de OpenJS Foundation op een manier die overeenkomsten oproept met het onlangs ontdekte incident gericht op het open-source XZ Utils-project.

“De OpenJS Foundation Cross Project Council ontving een verdachte reeks e-mails met soortgelijke berichten, met verschillende namen en overlappende GitHub-geassocieerde e-mails”, zeiden OpenJS Foundation en Open Source Security Foundation (OpenSSF) in een gezamenlijke waarschuwing.

Volgens Robin Bender Ginn, uitvoerend directeur van OpenJS Foundation, en Omkhar Arasaratnam, algemeen directeur bij OpenSSF, spoorden de e-mailberichten OpenJS aan om actie te ondernemen om een ​​van zijn populaire JavaScript-projecten bij te werken om kritieke kwetsbaarheden te verhelpen, zonder enige bijzonderheden te geven.

Cyberbeveiliging

De auteur(s) van de e-mail riepen OpenJS ook op om hen aan te wijzen als nieuwe beheerder van het project, ondanks dat ze daar vooraf weinig bij betrokken waren. Twee andere populaire JavaScript-projecten die niet door OpenJS worden gehost, zouden ook aan de ontvangende kant van soortgelijke activiteiten hebben gestaan.

Dat gezegd hebbende, kreeg geen van de mensen die contact opnamen met OpenJS bevoorrechte toegang tot het door OpenJS gehoste project.

Het incident brengt scherp de methode in beeld waarmee de enige beheerder van XZ Utils het doelwit was van fictieve persona's die uitdrukkelijk waren gecreëerd voor wat wordt verondersteld een social engineering-cum-pressiecampagne te zijn, ontworpen om van Jia Tan (ook bekend als JiaT75) een co-agent te maken. beheerder van het project.

Dit heeft de mogelijkheid doen ontstaan ​​dat de poging om XZ Utils te saboteren mogelijk geen op zichzelf staand incident is en dat het deel uitmaakt van een bredere campagne om de veiligheid van verschillende projecten te ondermijnen, aldus de twee open source-groepen. De namen van de JavaScript-projecten zijn niet bekendgemaakt.

Jia Tan heeft, zoals het er nu uitziet, geen andere digitale voetafdrukken buiten hun bijdragen, wat aangeeft dat het account is uitgevonden met als enig doel de geloofwaardigheid van de open-source ontwikkelingsgemeenschap door de jaren heen te winnen en uiteindelijk een heimelijke achterdeur naar XZ Utils te duwen.

Het dient ook om de verfijning en het geduld aan te wijzen die achter de planning en uitvoering van de campagne hebben gezeten door zich te richten op een open-source, door vrijwilligers gerund project dat in veel Linux-distributies wordt gebruikt, waardoor organisaties en gebruikers het risico lopen op aanvallen op de toeleveringsketen.

Het achterdeurincident met XZ Utils benadrukt ook de ‘fragiliteit’ van het open-source-ecosysteem en de risico’s die worden veroorzaakt door een burn-out bij beheerders, zei de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) vorige week.

“De last van de beveiliging mag niet op de schouders van een individuele open-sourcebeheerder terechtkomen, zoals in dit geval met een bijna rampzalig effect gebeurde”, aldus CISA-functionarissen Jack Cable en Aeva Black.

Cyberbeveiliging

“Elke technologiefabrikant die profiteert van open source-software moet zijn steentje bijdragen door verantwoordelijke consumenten te zijn van en duurzame bijdragers te leveren aan de open source-pakketten waarvan ze afhankelijk zijn.”

Het agentschap beveelt aan dat technologiefabrikanten en systeembeheerders die open-sourcecomponenten integreren, de beheerders rechtstreeks moeten ondersteunen, of de beheerders moeten ondersteunen bij het periodiek controleren van de broncode, het elimineren van hele klassen van kwetsbaarheden en het implementeren van andere 'secure by design'-principes.

“Deze social engineering-aanvallen maken misbruik van het plichtsbesef dat beheerders hebben ten aanzien van hun project en gemeenschap om deze te manipuleren”, aldus Bender Ginn en Arasaratnam.

“Let op hoe interacties je laten voelen. Interacties die twijfel aan jezelf veroorzaken, gevoelens van ontoereikendheid, van niet genoeg doen voor het project, etc. kunnen onderdeel zijn van een social engineering-aanval.”

Thijs Van der Does