Redian新闻
>
开源项目警惕被“社工”渗透,否则后门不保!

开源项目警惕被“社工”渗透,否则后门不保!

公众号新闻
近期开源圈 xz Utils 安全事件让业内震惊,当前幕后黑手仍然没有查明。
简单来说,xz Utils 入侵者在潜伏两三年时间中,通过社会工程的方式,先获得了项目的高级权限,进而执行一系列错综复杂的操作。

(完整攻击时间线查看:
https://www.oschina.net/news/286008/xz-timeline

可以看到,在这个过程中,入侵者首先急于实现的是提权,这个门槛是较大的,所以可以看到他们在开源项目中一边用真实的代码贡献去付出,一边以此为 “筹码”,将自己在项目中的身份提高,同时不断变着法一而再再而三去催促要接管项目权限。

这样的事情其实在开源项目中并不是孤例,这两天 OpenSSF 和 OpenJS 基金会也呼吁所有开源维护者对这样的社会工程渗透接管模式保持警惕,识别早期出现的威胁模式,并采取措施保护开源项目。

OpenJS 基金会跨项目委员会收到了一系列可疑的电子邮件,这些电子邮件恳求 OpenJS 采取行动更新其 JavaScript 项目,以 “解决任何严重漏洞”,但没有提及具体细节。

电子邮件作者希望 OpenJS 指定他们作为该项目的新维护者,尽管他们之前几乎没有参与过该项目。

OpenJS 团队还在另外两个项目中发现了类似的可疑模式,并立即向各自的 OpenJS 领导人以及美国国土安全部 (DHS) 下属的网络安全和基础设施安全局 (CISA)。

以下社会工程接管中的可疑模式值得关注:

  • 社区中相对不知名的成员对维护者或其托管实体(基金会或公司)友好、积极和持续的渴求

  • 请求由新人或未知人员提升为维护者状态

  • 来自社区中其他未知成员的认可,他们也可能使用虚假身份,也称为 “sock puppets”(白手套)。

  • 包含 blob 作为制品的 PR。例如,XZ 后门是一个精心设计的文件,作为测试套件的一部分,与源代码相反,该文件不是人类可读的。

  • 故意混淆或难以理解源代码

  • 安全问题逐渐升级。例如,XZ 问题一开始是用 fprintf () 相对无害地替换 safe_fprintf (),看看谁会注意到。

  • 偏离典型的项目编译、构建和部署实践,可能允许将外部恶意负载插入 blob、zip 或其他二进制制品中。

  • 错误的紧迫感,尤其是当隐含的紧迫性迫使维护者降低审查的彻底性或绕过控制时。

这些社会工程攻击正在利用维护者对项目和社区的责任感来操纵它们,需要注意互动给你带来的感受,能够让你产生自我怀疑、不足感、对项目做得不够等的互动,可能此时你正在被社会工程攻击。


References

https://openjsf.org/blog/openssf-openjs-alert-social-engineering-takeovers

https://www.oschina.net/news/286008/xz-timeline


热门文章

德国政府“又”从Windows迁移到Linux

开源副屏「操作系统」底层采用Electron,是生产力工具还是美丽的废物?

神级程序员Fabrice Bellard发布音频压缩工具TSAC

JetBrains全家桶2024首个大版本更新

从C++切换到Rust,开发效率提升两倍不止

⬇️ 长按二维码,启动!

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
渗透实战| 手把手教你如何进行内网渗透,0经验上手今天起,移民美国费用全面上涨!必须按新标准收费,否则绿卡被拒吃饭尽量不要并排坐,否则容易触发连招警惕!肠癌术后千万别做这件事儿,否则肠梗阻人类唯一的出路就是“开悟”,否则天诛地灭!全球最大开源项目之一——Kubernetes诞生十周年替代MLP的KAN,被开源项目扩展到卷积了特斯拉的以太理论:衔接所有世界古典,又有自己的实验成果云开源公司成“恶龙”?——指控 Linux 基金会旗下开源项目盗用代码美國大學中的多元共融云开源公司成“恶龙”?——指控Linux基金会旗下开源项目盗用代码童话国里的释怀之旅:第四天离谱!澳顶级男校学生威胁女老师:发裸照给我,否则告你性侵土拨鼠又乖巧又可爱,但不要靠它太近,否则很可能遭受不幸前端第一可视化库、百度知名开源项目——ECharts创始人“下海”养鱼工地降噪,新加坡要求这么操作,否则罚款!国家领导人须接受认知测试香港不能再安于现状、规避风险,必须找到自身的风采,否则将落于人后最新!众院通过法案!字节跳动须出售TikTok给美方,否则将禁用川普有麻烦了!必须3天内筹足4.54亿,否则房产被查封!千万不要透支自己的福报,否则必有祸患!瑟瑟发抖!2月CFA出分前一定要完成这件事,否则无法收到考试成绩!党建引领社工路 服务社会谱新篇 中国心理卫生协会妇专委派员参与北京社工协党建活动警惕被热捧的移民计划!投资人爆料曼哈顿项目惨痛经历4个令人惊艳的开源项目,诞生了!又火一个惊艳的开源项目,诞生了!下周可能走法和相应做法什么开源PUA大师语录:“你想参与开源项目?不,你并不想”最新!悉尼接收所有国际访客的53%,带来约百亿旅游经济收入!越来越多人来澳洲,这件小事一定要注意,否则或将被重罚!华男麻烦大了!绿卡恐不保!只因多年前经营非法按摩店被捕!如今再入境面临遣返!多次访美探亲看孙,海关恐吓:3个月必须离境,否则撤销10年旅游签证!5G商用5周年,“人联”渗透率过半,下半场“物联”须发力布林肯在北京抖狠,逼中国二选一,否则美国就开干!知名公司:员工娶妻彩礼不得超过10万元,否则严惩!曾悬赏1000万元送前女CEO进监狱没结果【安全】CAF呼吁用户3月修改密码,否则可能影响领取津贴
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。