OpenSSF et OpenJS déclarent que davantage de projets logiciels pourraient avoir été ciblés à des fins de sabotage. OpenSSF et OpenJS affirment que la tentative d'insertion d'une porte dérobée secrète dans XZ Utils, un programme méconnu intégré aux systèmes d'exploitation Linux du monde entier, pourrait ne pas être un incident isolé. OpenSSF et OpenJS appellent tous les responsables de projets open source à être vigilants face à des tentatives de prise de contrôle similaires.
Suite à la récente alerte concernant XZ Utils, les responsables d'un autre projet open source ont révélé qu'ils pourraient avoir subi des attaques d'ingénierie sociale similaires. Davantage de logiciels pourraient avoir été ciblés à des fins de sabotage L'Open Source Security Foundation (OpenSSF) et l'OpenJS Foundation, qui soutiennent plusieurs projets de logiciels open source (OSS) basés sur JavaScript, ont averti que la tentative d'ingénierie sociale contre la bibliothèque de compression de données XZ Utils en avril 2024 pourrait ne pas être un incident unique.
Elles ont déclaré qu'au moins trois projets JavaScript distincts ont été ciblés par des personnes non identifiées exigeant des modifications suspectes ou demandant à être désignées responsables des logiciels ciblés. Le langage de programmation JavaScript est au cœur de la plupart des applications Web modernes et est largement utilisé dans le monde entier. Omkhar Arasaratnam, directeur général de l'Open Source Security Foundation, a déclaré que l'un des logiciels ciblés enregistrait à lui seul des dizaines de millions de téléchargements par semaine.
À lire également: SecureBrain rejoint Hitachi Systems pour une cybersécurité renforcée À lire également: La Chine accusée par le Royaume-Uni et les États-Unis de multiples cyberattaques « malveillantes » Ce qu'il faut surveiller OpenSSF et OpenJS avertissent désormais tous les responsables de projets open source d'être attentifs à des tentatives de prise de contrôle similaires, après que le Conseil inter-projets d'OpenJS a reçu plusieurs courriels suspects demandant la mise à jour d'un de ses projets pour corriger des vulnérabilités critiques sans fournir de détails.
Les membres des projets OSS doivent se méfier de la poursuite amicale mais agressive et persistante du statut de responsable par des membres nouveaux ou relativement peu documentés de la communauté, de nouvelles demandes à traiter et de l'approbation par d'autres membres de la communauté documentés publiquement qui pourraient être des comptes factices. Arasaratnam recommande de prêter attention à ce que vous ressentez lors des interactions. Les interactions qui suscitent le doute, un sentiment d'insuffisance ou de ne pas en faire assez pour le projet pourraient faire partie d'une attaque d'ingénierie sociale.

