根据开源安全基金会和OpenJS基金会的联合声明,XZ Utils后门(CVE-2024-3094)可能不是一个孤立的事件。
如果你不知道XZ Utils的传奇故事,我尊敬的同事Steven Vaughn-Nichols在“这个后门几乎感染了所有Linux: XZ Utils的死里逃生”中报道了这个故事。简而言之,一名微软工程师发现XZ数据压缩实用程序的维护者Jia Tan在代码中插入了一个后门,这样攻击者就可以接管Linux系统。
这些基金会表明,有证据表明存在类似可信的收购企图,这意味着每个人都应该关注。
OpenJS基金会跨项目委员会收到了一系列可疑的电子邮件,请求OpenJS更新其流行的Javascript项目之一,以“解决任何关键漏洞”。可疑的邮件没有提供任何细节,但作者希望OpenJS指定他们为项目的新维护者,这就是Jin Tan如何将他的后门插入XZ的。
这些基金会表示,该项目并不是唯一的目标。至少还有另外两个项目也成为了攻击目标。安全风险立即被标记出来。
在联合声明中,OpenJS基金会表示:“我们希望与Linux基金会一起,提高所有开源维护者对这种持续威胁的认识,并提供来自我们广泛的安全和开源专家社区的实用指导和资源。”
这两家基金会随后列出了社交工程收购中已知的可疑模式:
- 友好,但积极追求维护
- 请求提升到维修人员状态
- 来自其他未知方的背书
- 拉取请求将blobs保存为工件
- 发票最终混淆或难以理解的源代码
- 安全问题逐步升级
- 偏离典型的项目编译、构建和部署实践
- 虚假的紧迫感
如果您(或您的项目)遇到这样的行为,请务必阅读OpenSSF指南以及CISA的“避免社会工程和网络钓鱼攻击”博客文章。
