Open source groups find more deliberate attacks on software

OpenSSF y OpenJS señalan que más proyectos de software pueden haber sido blanco de sabotaje. OpenSSF y OpenJS afirman que el intento de insertar una puerta trasera secreta en XZ Utils, un programa poco conocido que está integrado en sistemas operativos Linux en todo el mundo, podría no ser un incidente aislado. OpenSSF y OpenJS hacen un llamado a todos los mantenedores de código abierto a estar alertas ante intentos de toma de control similares. A raíz del reciente susto de XZ Utils, los mantenedores de otro proyecto de código abierto han declarado que podrían haber sido objeto de ataques de ingeniería social similares. Más software podría haber sido blanco de sabotaje. La Open Source Security Foundation (OpenSSF) y la OpenJS Foundation, que respaldan múltiples proyectos de software de código abierto (OSS) basados en JavaScript, advirtieron que el intento de ingeniería social contra la biblioteca de compresión de datos XZ Utils en abril de 2024 podría no ser un incidente único. Afirmaron que al menos tres proyectos de JavaScript separados fueron blanco de personas no identificadas que exigían modificaciones sospechosas o solicitaban ser designadas como mantenedores del software objetivo. El lenguaje de programación JavaScript impulsa la mayoría de las aplicaciones web modernas y se usa ampliamente en todo el mundo. Omkhar Arasaratnam, gerente general de la Open Source Security Foundation, declaró que solo uno de los programas atacados registraba decenas de millones de descargas a la semana. Lea también: SecureBrain se une a Hitachi Systems para mejorar la ciberseguridad. Lea también: Reino Unido y EE. UU. acusan a China de múltiples ciberataques maliciosos. ¿Qué buscar? OpenSSF y OpenJS ahora advierten a todos los mantenedores de código abierto que estén atentos a intentos de toma de control similares, después de que el Consejo de Proyectos Cruzados de OpenJS recibiera múltiples correos electrónicos sospechosos solicitando que uno de sus proyectos se actualizara para abordar vulnerabilidades críticas sin proporcionar detalles. Los miembros de proyectos OSS deben estar atentos a la búsqueda amistosa pero agresiva y persistente del estatus de mantenedor por parte de miembros de la comunidad nuevos o con contexto públicamente documentado, solicitudes nuevas de ser elevados y el respaldo de otros miembros de la comunidad públicamente documentados que podrían ser cuentas falsas. Arasaratnam dice que presten atención a cómo los hacen sentir las interacciones. Las interacciones que generan dudas sobre uno mismo, sentimientos de insuficiencia y de no estar haciendo lo suficiente por el proyecto podrían ser parte de un ataque de ingeniería social.