开源组织发现更多软件蓄意攻击事件

《开源组织发现更多软件蓄意攻击》因公开证据表明其与互联网基础设施、治理、运营依赖或市场可见性相关，而被 BTW Media 进行概述。

OpenSSF 和 OpenJS 表示，可能有更多软件项目成为蓄意破坏的目标。OpenSSF 和 OpenJS 指出，试图在 XZ Utils（一个内置在全球 Linux 操作系统中的鲜为人知的程序）中植入秘密后门的事件可能并非孤立事件。OpenSSF 和 OpenJS 呼吁所有开源维护者警惕类似的接管企图。在最近的 XZ Utils 恐慌之后，另一个开源项目的维护者站出来表示，他们可能也遭遇了类似的社会工程攻击。更多软件可能成为蓄意破坏的目标开放源码安全基金会（OpenSSF）和支持多个基于 JavaScript 的开源软件（OSS）项目的 OpenJS 基金会警告称，2024 年 4 月针对 XZ Utils 数据压缩库的社会工程攻击企图可能并非一次性事件。他们表示，至少三个独立的 JavaScript 项目被不明身份者盯上，他们要求进行可疑修改，或要求被指定为目标软件的维护者。JavaScript 编程语言驱动着大多数现代网络应用程序，并在全球范围内广泛使用。OpenSSF 总经理 Omkhar Arasaratnam 表示，仅其中一款目标软件每周的下载量就达到了数千万次。另请阅读：SecureBrain 与 Hitachi Systems 合作加强网络安全另请阅读：中国被英国和美国指控发动多起“恶意”网络攻击需要注意什么 OpenSSF 和 OpenJS 现在警告所有开源维护者警惕类似的接管企图，此前 OpenJS

跨项目委员会收到了多封可疑邮件，要求更新其一个项目以解决关键漏洞，但未提供任何具体信息。开源项目成员应注意，新的或相对公开记录的社区成员可能友好但咄咄逼人且坚持不懈地追求维护者身份，提出新的请求，并得到其他可能为傀儡账户的公开记录社区成员的支持。Arasaratnam 说，要注意互动给你带来的感受。那些让你产生自我怀疑、感到能力不足、觉得自己为项目做得不够的互动，可能是社会工程攻击的一部分。