Bendi新闻
>
开源项目警惕被“社工”渗透,否则后门不保!

开源项目警惕被“社工”渗透,否则后门不保!

8月前
近期开源圈 xz Utils 安全事件让业内震惊,当前幕后黑手仍然没有查明。
简单来说,xz Utils 入侵者在潜伏两三年时间中,通过社会工程的方式,先获得了项目的高级权限,进而执行一系列错综复杂的操作。

(完整攻击时间线查看:
https://www.oschina.net/news/286008/xz-timeline

可以看到,在这个过程中,入侵者首先急于实现的是提权,这个门槛是较大的,所以可以看到他们在开源项目中一边用真实的代码贡献去付出,一边以此为 “筹码”,将自己在项目中的身份提高,同时不断变着法一而再再而三去催促要接管项目权限。

这样的事情其实在开源项目中并不是孤例,这两天 OpenSSF 和 OpenJS 基金会也呼吁所有开源维护者对这样的社会工程渗透接管模式保持警惕,识别早期出现的威胁模式,并采取措施保护开源项目。

OpenJS 基金会跨项目委员会收到了一系列可疑的电子邮件,这些电子邮件恳求 OpenJS 采取行动更新其 JavaScript 项目,以 “解决任何严重漏洞”,但没有提及具体细节。

电子邮件作者希望 OpenJS 指定他们作为该项目的新维护者,尽管他们之前几乎没有参与过该项目。

OpenJS 团队还在另外两个项目中发现了类似的可疑模式,并立即向各自的 OpenJS 领导人以及美国国土安全部 (DHS) 下属的网络安全和基础设施安全局 (CISA)。

以下社会工程接管中的可疑模式值得关注:

  • 社区中相对不知名的成员对维护者或其托管实体(基金会或公司)友好、积极和持续的渴求

  • 请求由新人或未知人员提升为维护者状态

  • 来自社区中其他未知成员的认可,他们也可能使用虚假身份,也称为 “sock puppets”(白手套)。

  • 包含 blob 作为制品的 PR。例如,XZ 后门是一个精心设计的文件,作为测试套件的一部分,与源代码相反,该文件不是人类可读的。

  • 故意混淆或难以理解源代码

  • 安全问题逐渐升级。例如,XZ 问题一开始是用 fprintf () 相对无害地替换 safe_fprintf (),看看谁会注意到。

  • 偏离典型的项目编译、构建和部署实践,可能允许将外部恶意负载插入 blob、zip 或其他二进制制品中。

  • 错误的紧迫感,尤其是当隐含的紧迫性迫使维护者降低审查的彻底性或绕过控制时。

这些社会工程攻击正在利用维护者对项目和社区的责任感来操纵它们,需要注意互动给你带来的感受,能够让你产生自我怀疑、不足感、对项目做得不够等的互动,可能此时你正在被社会工程攻击。


References

https://openjsf.org/blog/openssf-openjs-alert-social-engineering-takeovers

https://www.oschina.net/news/286008/xz-timeline


热门文章

德国政府“又”从Windows迁移到Linux

开源副屏「操作系统」底层采用Electron,是生产力工具还是美丽的废物?

神级程序员Fabrice Bellard发布音频压缩工具TSAC

JetBrains全家桶2024首个大版本更新

从C++切换到Rust,开发效率提升两倍不止

⬇️ 长按二维码,启动!

微信扫码关注该文公众号作者

来源:OSC开源社区

相关新闻

英国高校被指控为留学生“开后门”!伦敦将于周五试行低票价!这个「AI 写真」开源项目火了! GitHub 一周暴涨四千星,Yann LeCun 亲自转发道德沦丧,搞权色、钱色交易,对家人不管不教,彭国甫被“双开”!他曾要求彻查“操场埋尸案”,还称“莫让别人戳脊梁骨”7.5K星开源项目“白做了”?OpenAI发布开发者最期待的头号功能,让多个优秀开源项目瞬间凉了!什么开源PUA大师语录:“你想参与开源项目?不,你并不想”开源独角兽 GitLab 走上“卖身”路!前工程师拆台:赚钱的业务不好好运营,开发了一堆没用的功能重大!“朱令案”孙某澳洲国籍不保了?数百人向澳洲内政部在线举报!最新照片被网友曝光!居然去度假了...iOS 越狱开发者被苹果 “ 招安 ” :以后不能碰 “ 越狱 ” 了,转身开源了 10 款工具!iOS 越狱开发者被苹果“招安”:以后不能碰“越狱”了,转身开源了 10 款工具!棒!加国华人新移民开餐厅,带头不收小费!却被同行排挤“扰乱行规”!新晋开源顶流模型 Llama 3.1 被开发者赞爆!小扎拿苹果“开刀”反对闭源厂商:AI 不要“苹果税”!警惕!近期接连有华女失踪 25岁华女在机场被拦下 差点踏上“不归路”...完全开源!谢赛宁发布最新SOTA多模态模型Cambrian-1,“不与GPT-4V媲美”Redis不“开源”,是定义「开源」的OSI之耻朱宏被“双开”!广东省卫健系统连续三任前“一把手”被查彭国甫被“双开”!通报!张宏生被“双开”!突发!加州发布政策整治招生“开后门”行为!多所顶尖大学受影响!严重违纪违法!安青松被“双开”!北京突发,孙铁江被“双开”!张广被“双开”!北航原副校长张广,被“双开”!郝江陵被“双开”!涉及瞒报死亡事件赵富洲,被“双开”!
logo
联系我们隐私协议©2024 bendi.news
Bendi新闻
Bendi.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Bendi.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。