Nadat criminelen bijna een cruciale Linux-tool injecteerden met een achterpoortje, blijkt dat er vermoedelijk nog pogingen tot sabotage van andere opensource-projecten hebben plaatsgevonden.
De gefaalde sabotage van de Linux-bibliotheek XZ Utils was vermoedelijk geen alleenstaand geval. Eerder deze maand kwam aan het licht dat criminelen een achterpoort hadden geïnjecteerd in de populaire bibliotheek. Dat deden ze door zich jarenlang voor te doen als waardevolle bijdragers aan het opensource-project. Het achterpoortje werd net op tijd ontdekt, voor de brede lancering van de tool.
De open source Security Foundation en de OpenJS Foundation melden nu dat ze sterke vermoedens hebben van andere pogingen tot sabotage met een gelijkaardige modus operandi. Zo kregen de instanties mails van een zogezegd bezorgde ontwikkelaar over de beveiliging van projecten. Die zouden kritieke kwetsbaarheden bevatten. De ontwikkelaar in kwestie zou die oplossen, als hij maar maintainer van het project kon zijn. Die status gebruikte crimineel Jin Tan om XZ Utils te infecteren.
Smoesjes
Minstens twee projecten werden geviseerd door personen die met een smoesje maintainer wilden worden. Beide Foundations hebben een rode draad vastgesteld in de aanpak van de verdachten. Wie daarmee geconfronteerd wordt, moet terughoudend zijn. De criminelen:
- Viseren vriendelijk maar doortastend maintainers
- Azen zelf op maintainer-status
- Hebben aanbevelingen van andere (onbekende) partijen
- Maken Pull Requests met blobs als artifacts
- Schrijven opzettelijk moeilijk te begrijpen broncode
- Escaleren beveiligingsproblemen gradueel
- Wijken af van typische best practices
- Creëren een gevoel van urgentie
Wie zo’n zaken tegenkomt bij zijn of haar project, kan het slachtoffer zijn van een social engineering-aanval, gericht op de injectie van malafide code. Alert zijn os de boodschap.