OpenSSF und OpenJS warnen vor Social Engineering nach XZ-Muster

Die Open Source Security Foundation (OpenSSF und die OpenJS Foundation haben vor Social Engineering Übernahmen von Open-Source-Projekten gewarnt.

Der jüngste Versuch, die Backdoor von XZ Utils (CVE-2024-3094) einzuschleusen, ist möglicherweise kein Einzelfall, wie ein ähnlicher glaubwürdiger Übernahmeversuch zeigt, der von der OpenJS Foundation abgefangen wurde, heißt es in der gemeinsamen Mitteilung der beiden Stiftungen.

OpenJS Foundation habe als Heimat von JavaScript-Projekten, die von Milliarden von Websites weltweit genutzt werden eine verdächtige Reihe von E-Mails mit ähnlichen Nachrichten erhalten, die unterschiedliche Namen trugen und sich mit GitHub-assoziierten E-Mails überschnitten hätten. Diese E-Mails hätten OpenJS dazu aufgefordert, Maßnahmen zu ergreifen, um eines seiner beliebten JavaScript-Projekte zu aktualisieren, um “kritische Schwachstellen zu beheben” heißt es in der Mitteilung. Die Verfasser der E-Mails wollten, dass OpenJS sie als neue Betreuer des Projekts benennt, obwohl sie zuvor kaum beteiligt gewesen seien. Dieser Ansatz ähnle stark der Art und Weise, in der sich “Jia Tan” bei der XZ/liblzma-Backdoor verhalten habe. Wie berichtet ist es Jia Tan gelungen, sich als Maintainer für das XZ Utils einzuschleichen und dort eine Backdoor zu platzieren.

OpenSSF und OpenJS wollen nun gemeinsam mit der Linux Foundation das Bewusstsein für solche ständigen Bedrohungen bei allen Open-Source-Maintainern schärfen und praktische Anleitungen und Ressourcen aus unserer großen Gemeinschaft von Sicherheits- und Open-Source-Experten anbieten. Im Beitrag sind einige Anhaltspunkte für verdächtige Aktivitäten genannt.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben