La Open Source Security Foundation (OpenSSF) y la OpenJS Foundation, que respalda múltiples proyectos de software de código abierto (OSS) basados en JavaScript, advirtieron que el intento de ingeniería social observado a principios de abril de 2024 contra la biblioteca de compresión de datos XZ Utils puede no ser un incidente aislado.
En el ataque XX Utils, un actor de amenazas conocido como JiaTan se infiltró en el proyecto XZ Utils durante un período de varios años, se volvió confiable para los mantenedores del proyecto y contribuyó con actualizaciones legítimas al software antes de intentar colar una vulnerabilidad de puerta trasera, CVE-2024-3094. , que podría haber causado una masacre si no hubiera sido por las rápidas acciones de un investigador con vista de águila.
Ahora, OpenSSF y OpenJS están pidiendo a todos los mantenedores de código abierto que estén alerta ante intentos de adquisición similares después de que el OpenJS Cross Project Council recibió varios correos electrónicos sospechosos implorándoles que actualizaran uno de sus proyectos para abordar vulnerabilidades críticas sin citar ningún detalle específico.
Robin Bender Ginn, director ejecutivo de la Fundación OpenJS, y Omkhar Arasaratnam, gerente general de OpenSSF, dijeron que los autores de los correos electrónicos, que tenían nombres diferentes pero provenían de cuentas asociadas a GitHub superpuestas, querían ser designados como mantenedores del proyecto a pesar de tener poca participación previa. , similar a cómo JiaTan pudo abrirse camino en el proyecto XZ Utils.
Agregaron que el equipo de OpenJS también se dio cuenta de un patrón similar en otros dos proyectos JavaScript ampliamente utilizados que no aloja él mismo, y ha señalado el riesgo potencial de seguridad a los respectivos líderes de OpenJS, así como a las autoridades de seguridad cibernética de EE. UU.
“Ninguna de estas personas ha recibido acceso privilegiado al proyecto alojado en OpenJS. El proyecto cuenta con políticas de seguridad, incluidas las descritas por el grupo de trabajo de seguridad de la Fundación”, escribieron Bender Ginn y Arasaratnam en una publicación de blog conjunta que detalla el ataque.
“Los proyectos de código abierto siempre agradecen las contribuciones de cualquier persona, en cualquier lugar, pero otorgar a alguien acceso administrativo al código fuente como mantenedor requiere un mayor nivel de confianza y no se ofrece como una ‘solución rápida’ a ningún problema.
“Junto con la Fundación Linux, queremos crear conciencia sobre esta amenaza constante a todos los mantenedores de código abierto y ofrecer orientación práctica y recursos de nuestra amplia comunidad de expertos en seguridad y código abierto”, dijeron.
Que tener en cuenta
Entre otras cosas, los miembros del proyecto OSS deben estar alerta a la búsqueda amistosa, aunque agresiva y persistente, del estatus de mantenedor por parte de miembros nuevos o relativamente desconocidos de la comunidad, nuevas solicitudes de elevación y respaldo de otros miembros desconocidos de la comunidad, que potencialmente pueden ser cuentas de sockpuppet. .
Los miembros también deben tener en cuenta las solicitudes de extracción (PR) que contienen blobs como artefactos: la puerta trasera XX era un archivo que no era legible por humanos, no era código fuente; código fuente intencionalmente ofuscado o difícil de entender; problemas de seguridad que parecen intensificarse lentamente: el ataque XZ comenzó con una enmienda de prueba relativamente inocua; desviación de los procedimientos típicos de compilación, construcción e implementación de proyectos; y una falsa sensación de urgencia, particularmente si alguien parece estar tratando de convencer a un mantenedor para que eluda un control o acelere una revisión.
“Estos ataques de ingeniería social están explotando el sentido del deber que los mantenedores tienen con su proyecto y su comunidad para poder manipularlos”, escribieron Bender Ginn y Arasaratnam. “Presta atención a cómo te hacen sentir las interacciones. Las interacciones que crean dudas sobre uno mismo, sentimientos de insuficiencia, de no hacer lo suficiente por el proyecto, etcétera, podrían ser parte de un ataque de ingeniería social”.
Los ataques de ingeniería social pueden ser difíciles de detectar o proteger contra ellos a través de medios programáticos, ya que se aprovechan de las emociones y la confianza humanas, por lo que, a corto plazo, también es importante compartir la mayor cantidad de información posible sobre posibles actividades sospechosas, sin vergüenza ni juicio. para que los miembros de la comunidad puedan aprender estrategias de protección.
Chris Hughes, director de seguridad de Endor Labs y miembro de innovación cibernética de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), dijo que no le sorprendió escuchar sobre ataques de ingeniería social más generalizados contra el mundo del código abierto; además, dado que el ataque XZ recibió una publicidad significativa. , es probable que otros actores maliciosos prueben tácticas similares en el futuro.
“Probablemente podamos sospechar que muchos de estos ya están en marcha y es posible que ya hayan tenido éxito, pero aún no han sido expuestos o identificados. La mayoría de los proyectos de código abierto carecen increíblemente de financiación y están dirigidos por un solo grupo o un pequeño grupo de mantenedores, por lo que utilizar ataques de ingeniería social contra ellos no es sorprendente y, dado lo vulnerable que es el ecosistema y las presiones a las que están sometidos los mantenedores, probablemente agradecerán la ayuda. muchos casos”, afirmó.
“Si los atacantes lo hacen bien, puede resultar difícil para los mantenedores determinar qué participación proviene de aquellos interesados en colaborar y contribuir a los proyectos frente a aquellos con intenciones maliciosas”.
En términos más generales, advirtió Hughes, esto representa un riesgo enorme para la comunidad de código abierto en general, ya que alrededor de una cuarta parte de todos los proyectos de código abierto tienen un solo mantenedor y el 94% menos de diez. Este riesgo luego se traslada a las organizaciones que utilizan código abierto. componentes de software fuente en su software.
“Esto genera conciencia sobre el problema más amplio de cuán opaco es el ecosistema OSS. Los componentes y proyectos que ejecutan toda la infraestructura digital moderna a menudo son mantenidos por alias desconocidos e individuos repartidos por todo el mundo. Además, muchos proyectos de OSS son mantenidos por una sola persona o un pequeño grupo de personas, a menudo en su tiempo libre como pasatiempo o proyecto apasionante y, por lo general, sin ningún tipo de compensación.
“Esto hace que todo el ecosistema sea vulnerable a actores maliciosos que se aprovechan de estas realidades y se aprovechan de mantenedores abrumados con una comunidad que les exige sin ninguna compensación real a cambio de su arduo trabajo y compromiso para mantener el código del que depende el mundo”, dijo. .