Grupos de código abierto encuentran más ataques deliberados al software

Grupos de código abierto encuentran más ataques deliberados al software es perfilado por BTW Media porque la evidencia publicada lo vincula a la infraestructura de internet, la gobernanza, las dependencias operativas o la visibilidad del mercado.

OpenSSF y OpenJS afirman que más proyectos de software pueden haber sido objeto de sabotaje. OpenSSF y OpenJS señalan que el intento de insertar una puerta trasera secreta en XZ Utils, un programa poco conocido integrado en los sistemas operativos Linux en todo el mundo, podría no ser un incidente aislado. OpenSSF y OpenJS hacen un llamado a todos los mantenedores de código abierto para que estén alerta ante intentos similares de toma de control. Tras el reciente susto con XZ Utils, los mantenedores de otro proyecto de código abierto han declarado que podrían haber sufrido ataques de ingeniería social similares.

Más software puede haber sido objeto de sabotaje. La Open Source Security Foundation (OpenSSF) y la OpenJS Foundation, que respaldan múltiples proyectos de software de código abierto (OSS) basados en JavaScript, han advertido que el intento de ingeniería social contra la biblioteca de compresión de datos XZ Utils en abril de 2024 podría no ser un incidente único. Afirmaron que al menos tres proyectos separados de JavaScript fueron el blanco de personas no identificadas que exigían modificaciones sospechosas o solicitaban ser designados mantenedores del software objetivo.

El lenguaje de programación JavaScript impulsa la mayoría de las aplicaciones web modernas y se utiliza ampliamente en todo el mundo. Omkhar Arasaratnam, gerente general de la Open Source Security Foundation, declaró que solo uno de los programas atacados registraba decenas de millones de descargas por semana. Lea también: SecureBrain se une a Hitachi Systems para mejorar la ciberseguridad. Lea también: China acusada por Reino Unido y EE. UU. de múltiples ciberataques 'maliciosos'.

Qué buscar: OpenSSF y OpenJS ahora advierten a todos los mantenedores de código abierto que estén atentos a intentos similares de toma de control, después de que el OpenJS Cross Project Council recibiera múltiples correos electrónicos sospechosos solicitando que uno de sus proyectos se actualizara para abordar vulnerabilidades críticas sin proporcionar detalles específicos.

Los miembros de proyectos OSS deben estar atentos a la búsqueda amistosa pero agresiva y persistente del estatus de mantenedor por parte de miembros de la comunidad nuevos o relativamente desconocidos, solicitudes recientes de cambios y endosos de otros miembros de la comunidad que podrían ser cuentas falsas. Arasaratnam recomienda prestar atención a cómo te hacen sentir las interacciones. Las interacciones que generan dudas sobre uno mismo, sentimientos de insuficiencia y de no estar haciendo lo suficiente por el proyecto pueden ser parte de un ataque de ingeniería social.