Es posible que XZ Utils no haya sido el único objetivo de sabotaje, advierten fundaciones de código abierto
La puerta trasera XZ Utils que recientemente generó oleadas de preocupación en la comunidad Linux puede haber sido solo el comienzo.
Es posible que la puerta trasera XZ Utils (CVE-2024-3094) no haya sido un incidente aislado, según una declaración conjunta de la Open Source Security Foundation y la OpenJS Foundation.
Si no está al tanto de la saga XZ Utils, mi estimado colega, Steven Vaughn-Nichols, cubrió la historia en "Esta puerta trasera casi infectó Linux en todas partes: The XZ Utils close call". En resumen, un ingeniero de Microsoft descubrió que un mantenedor de la utilidad de compresión de datos XZ, Jia Tan, insertó una puerta trasera en el código para que los atacantes pudieran apoderarse de los sistemas Linux.
Estos fundamentos que sugieren que hay evidencia de intentos de adquisición creíbles similares significan que todos deberían prestar atención.
El Consejo de Proyectos Cruzados de la Fundación OpenJS recibió una serie de correos electrónicos sospechosos que imploraban a OpenJS que actualizara uno de sus proyectos populares de JavaScript para "abordar cualquier vulnerabilidad crítica". Los correos electrónicos sospechosos no ofrecían ningún detalle, pero el autor quería que OpenJS los designara como el nuevo mantenedor del proyecto, así es como Jin Tan insertó su puerta trasera en XZ.
Ese proyecto no fue el único objetivo, dijeron las fundaciones. Al menos otros dos proyectos también fueron objeto de ataques. Los riesgos de seguridad fueron inmediatamente señalados.
En la declaración conjunta, la Fundación OpenJS dijo: "Junto con la Fundación Linux, queremos crear conciencia sobre esta amenaza continua a todos los mantenedores de código abierto y ofrecer orientación práctica y recursos de nuestra amplia comunidad de expertos en seguridad y código abierto. "
A continuación, las dos fundaciones enumeraron patrones sospechosos conocidos en las adquisiciones de ingeniería social:
- Búsqueda amistosa pero agresiva de un mantenedor
- Solicitud para ser elevado al estado de mantenedor
- Un respaldo de otros partidos desconocidos
- Solicitudes de extracción que contienen blobs como artefactos
- Código fuente intencionalmente ofuscado o difícil de comprender
- Escalada gradual de problemas de seguridad.
- Desviación de las prácticas típicas de compilación, construcción e implementación de proyectos.
- Una falsa sensación de urgencia
Si usted (o su proyecto) se encuentra con este tipo de comportamiento, asegúrese de leer las guías de OpenSSF, así como la publicación del blog "Evitar la ingeniería social y los ataques de phishing" de CISA.