Новости Повторение XZ Utils? Коварные хакеры атаковали OpenJS Foundation

NewsMaker

I'm just a script
Премиум
13,887
20
8 Ноя 2022
Удалось ли киберпреступникам осуществить задуманное?


4172kfamrktah2mde6l4pd23yhms7kj3.jpg


Недавно специалисты в области кибербезопасности Для просмотра ссылки Войди или Зарегистрируйся попытку взлома проекта на платформе OpenJS, которая в общих чертах очень напоминает Для просмотра ссылки Войди или Зарегистрируйся с бэкдором в утилите сжатия XZ Utils.

В понедельник, 15 апреля, некоммерческая организация OpenJS Foundation, которая занимается мониторингом проектов на JavaScript, используемых миллиардами сайтов по всему миру, получила серию подозрительных писем. Отправители просили срочно обновить один из популярных проектов для устранения критических уязвимостей, не уточняя деталей.

Робин Бендер Гинн из OpenJS и Омкар Арасаратнам из Open Source Security Foundation сообщили, что авторы писем настаивали на назначении их новыми управляющими одного из популярных проектов (название не разглашается), несмотря на отсутствие предыдущего опыта работы над ним.

Специалисты отметили сходство методов с действиями хакера по имени Цзя Тан, которому мы ранее Для просмотра ссылки Войди или Зарегистрируйся Именно Цзя Тан, за личностью которого могла скрываться целая команда опытных хакеров, ранее сумел внедрить бэкдор в утилиту XZ Utils.

Гинн и Арасаратнам подчеркнули, что никому из обратившихся не был предоставлен привилегированный доступ к проекту, так как специалисты быстро заподозрили неладное.

По словам Криса Хьюза из Endor Labs, примерно четверть всех проектов в области кибербезопасности имеют одного управляющего, а 94% проектов — менее десяти. Он отметил, что экосистема открытого программного обеспечения чрезвычайно неоднородна и уязвима из-за глобальной зависимости от анонимных и разрозненных разработчиков.

Официальные лица CISA, Джек Кейбл и Аева Блэк, Для просмотра ссылки Войди или Зарегистрируйся о необходимости пересмотра подходов к безопасности в производстве технологий. Они утверждают, что компании, использующие открытое программное обеспечение, должны вносить свой вклад, поддерживая устойчивость экосистемы, в том числе финансово или за счёт времени разработчиков.

Арасаратнам также сообщил о планах Linux Foundation по разработке специальных руководств для управляющих проектами, которые могут столкнуться с агрессивными попытками перехвата управления. Он также подчеркнул важность поддержки управляющих в борьбе против социальной инженерии и манипуляций, которые потенциально могут привести к очень серьёзным последствиям.
 
Источник новости
www.securitylab.ru

Похожие темы