Open source groups find more deliberate attacks on software

OpenSSF et OpenJS déclarent que davantage de projets logiciels pourraient avoir été ciblés à des fins de sabotage. OpenSSF et OpenJS affirment que la tentative d'insertion d'une porte dérobée secrète dans XZ Utils, un programme méconnu intégré aux systèmes d'exploitation Linux dans le monde entier, pourrait ne pas être un incident isolé. OpenSSF et OpenJS appellent tous les mainteneurs de logiciels open source à être attentifs à des tentatives de prise de contrôle similaires. Suite à la récente alerte concernant XZ Utils, les mainteneurs d'un autre projet open source ont déclaré qu'ils pourraient avoir été victimes d'attaques d'ingénierie sociale similaires. Davantage de logiciels pourraient avoir été ciblés à des fins de sabotage. La Fondation Open Source Security (OpenSSF) et la Fondation OpenJS, qui soutiennent de multiples projets open source basés sur JavaScript, ont averti que la tentative d'ingénierie sociale contre la bibliothèque de compression de données XZ Utils en avril 2024 pourrait ne pas être un incident isolé. Elles ont indiqué qu'au moins trois projets JavaScript distincts ont été ciblés par des personnes non identifiées exigeant des modifications suspectes ou demandant à être désignées comme mainteneurs des logiciels ciblés. Le langage de programmation JavaScript est à la base de la plupart des applications web modernes et est largement utilisé dans le monde entier. Omkhar Arasaratnam, directeur général de la Fondation Open Source Security, a déclaré que l'un des logiciels ciblés enregistrait à lui seul des dizaines de millions de téléchargements par semaine. Lire aussi: SecureBrain rejoint Hitachi Systems pour une cybersécurité renforcée Lire aussi: Le Royaume-Uni et les États-Unis accusent la Chine de multiples cyberattaques « malveillantes » Ce qu'il faut surveiller. OpenSSF et OpenJS avertissent désormais tous les mainteneurs open source d'être à l'affût de tentatives de prise de contrôle similaires, après que le Conseil des projets transversaux d'OpenJS a reçu plusieurs courriels suspects demandant qu'un de ses projets soit mis à jour pour corriger des vulnérabilités critiques sans fournir de détails. Les membres des projets OSS devraient être attentifs aux sollicitations amicales mais agressives et persistantes pour obtenir le statut de mainteneur par des membres de la communauté nouveaux ou relativement peu documentés publiquement, aux nouvelles demandes de privilèges élevés, et aux approbations d'autres membres de la communauté documentés publiquement qui pourraient être des comptes suspects (faux comptes). Arasaratnam conseille de prêter attention à la manière dont les interactions vous font vous sentir. Les interactions qui suscitent le doute, un sentiment d'insuffisance ou l'impression de ne pas en faire assez pour le projet pourraient faire partie d'une attaque d'ingénierie sociale.